SloppyMIO バックドア

イランの国家利益と連携していると評価されるペルシャ語を話す脅威アクターが、最近の人権侵害の記録に関与する非政府組織（NGO）や個人を標的とした新たなサイバースパイ活動を展開した疑いがある。セキュリティ研究者は2026年1月にこの活動を特定し、「RedKitten」というコード名を付けた。

政治的背景と標的戦略

この作戦は、2025年後半に始まったイランにおける急激なインフレ、食料価格の高騰、そして通貨の大幅な切り下げによって引き起こされた広範な動乱とほぼ重なっています。その後の政府による弾圧は、多くの死傷者と長期にわたるインターネットの混乱をもたらしたと報じられています。この作戦は、行方不明または死亡した抗議者に関する情報を探している人々を狙い、感情的な苦痛を利用して緊急性を誘発し、懐疑心を弱めることで、こうした状況を悪用することを目的としているようです。

初期感染ベクターとLLM主導開発

侵入チェーンは、ペルシア語のファイル名を持つ7-Zipアーカイブから始まります。中には、悪意のあるマクロを含むMicrosoft Excelスプレッドシートが含まれています。これらのXLSMファイルは、2025年12月22日から2026年1月20日までの間にテヘランで殺害された抗議参加者のリストを記載していると主張していますが、年齢や生年月日の不一致などの矛盾点から、このデータは捏造されたものであると考えられます。マクロが有効になると、VBAベースのドロッパーがAppDomainManagerインジェクションを使用して、「AppVStreamingUX_Multi_User.dll」というC#インプラントを展開します。

コード分析では、マクロの構造、命名規則、自動プロンプトや指示プロンプトに似た埋め込みコメントに基づいて、開発で大規模な言語モデルが使用された可能性が高いことが示唆されています。

SloppyMIOバックドアのアーキテクチャと機能

SloppyMIOとして追跡されている埋め込まれたバックドアは、正規のクラウドおよびコラボレーションプラットフォームに大きく依存しています。GitHubは、ステガノグラフィによって設定データを隠蔽する画像をホストするGoogleドライブのURLを取得するためのデッドドロップリゾルバとして利用されています。抽出された設定には、Telegramボットの認証情報、チャットID、追加のペイロードへのリンクなどが含まれます。

SloppyMIOは、コマンド実行、ファイルの収集と流出、ペイロードの展開、スケジュールされたタスクによる永続化、プロセス実行を可能にする複数の機能モジュールをサポートしています。マルウェアはこれらのモジュールをオンデマンドでダウンロード、キャッシュ、実行できるため、オペレーターは侵害されたシステムを広範囲に制御できます。

サポートされている機能モジュールは次のとおりです。

• Windowsコマンドインタープリタによるコマンド実行
• Telegram API の制限に合わせてサイズ設定されたファイル収集と ZIP ベースの抽出
• 画像エンコードされたペイロードを使用したローカルアプリケーションデータディレクトリへのファイル書き込み

• 定期実行のためのスケジュールタスクの作成

• 任意のプロセスの開始

• Telegram経由のコマンドアンドコントロール

SloppyMIOは、モジュール式のペイロード配信に加え、Telegram Bot APIを使用してオペレーターとの継続的な通信を維持します。インプラントはシステムステータスのビーコン送信、指示のポーリング、収集したデータのTelegramチャットへの送信を行うほか、別のコマンド＆コントロールエンドポイントからの直接タスク実行もサポートします。

観察されたオペレータ コマンドには次のものがあります。

• ファイルの収集と流出をトリガーする
• 任意のシェルコマンドの実行
• 指定されたアプリケーションまたはプロセスの起動

帰属と歴史的類似点

イラン系アクターへのアトリビューションは、複数の指標に基づいています。ペルシア語のアーティファクト、国内の騒乱に関連したルアーテーマ、そして以前のキャンペーンとの戦術的重複などです。特に注目すべきは、以前に悪意のあるExcelファイルとAppDomainManagerインジェクションを悪用したTortoiseshellによるものとされるオペレーション、そしてGitHubを使用してDrokbkバックドアを配布したNemesis Kittenサブクラスターに関連する2022年のキャンペーンとの類似点です。AI支援ツールの使用増加は、アクターの識別とアトリビューションの信頼性をさらに複雑にしています。

同時進行するフィッシング攻撃と広範囲にわたる影響

捜査官は別途、DuckDNSドメインでホストされた偽装されたWhatsApp Webインターフェースを用いたWhatsAppを介したフィッシング攻撃キャンペーンを公開しました。このページは、攻撃者が管理するエンドポイントを継続的にポーリングし、攻撃者自身のWhatsApp WebセッションにリンクされたライブQRコードを表示します。被害者はコードをスキャンすることで、知らないうちに攻撃者を認証し、アカウントへのフルアクセスを許可してしまいます。このフィッシングインフラは、カメラ、マイク、位置情報へのアクセスに関するブラウザの権限も要求し、事実上リアルタイム監視を可能にします。

追加の調査結果によると、偽のログインページを通じて、パスワードや2段階認証コードなどのGmailの認証情報を収集しようとする関連活動が見受けられます。クルド人コミュニティのメンバー、学者、政府関係者、ビジネスリーダー、その他の著名人など、約50人が被害に遭っています。これらのフィッシング攻撃の背後にいる実行者とその正確な動機は、依然として確認されていません。

作戦上のトレードクラフトと防御上の意味合い

GitHub、Google Drive、Telegramといったコモディティ化されたプラットフォームの広範な利用は、従来のインフラベースの追跡を阻害すると同時に、攻撃者にとって悪用可能なメタデータや運用上のセキュリティリスクをもたらします。脅威アクターによるAIの導入拡大と相まって、RedKittenのようなキャンペーンは、防御側がインフラ指標だけに頼るのではなく、行動分析、コンテンツ検証、そしてユーザーアウェアネスに重点を置く必要性を浮き彫りにしています。