האקרים איראנים תקפו ארגוני ופעילי זכויות אדם – גם באיראן

ברקע המהומות, המחאות וההרג ההמוני של אזרחים באיראן: קבוצת האקרים דוברי פרסית, הפועלת בחסות איראן פצחה בקמפיין תקיפה חדש נגד ארגונים לא ממשלתיים ופעילים – גם באיראן – העוסקים בתיעוד הפרות זכויות אדם האחרונות.

את הקמפיין חשפה חברת הגנת הסייבר הצרפתית הארפאנג-לאב (HarfangLab). הוא החל, לפי החוקרים, בתחילת ינואר השנה. החוקרים חשפו את קבוצת RedKitten. הטקטיקות, הטכניקות והנהלים (TTPs) של חתלתול אדום דומים לאלה של גורם האיום האיראני Yellow Liderc, הידוע גם כ-Imperial Kitten וכ-TA456, המזוהה עם משמרות המהפכה.

הקמפיין, לפי החוקרים, מפיץ "פיתיונות הלם" מזויפים, שנועדו למקד ארגונים, או אנשים ובני משפחה המחפשים מידע על נעדרים, או מתנגדי משטר פוליטיים, או עיתונאים. אלה נועדו לנצל את המצוקה הרגשית שבה הם שרויים. אז הפתיונות האלה מובילים להשתלת נוזקה.

"הנוזקה נסמכת על GitHub ו-Google Drive להגדרות ולשליפת מטען זדוני מודולרי, ומשתמשת בטלגרם לטובת פיקוד ושליטה", כתבו חוקרי חברת הסייבר הצרפתית, "מה שהופך את הקמפיין לראוי לציון הוא הסתמכות של שחקני האיום על מודלי שפה גדולים (LLMs). זאת, כדי לבנות ולארגן את כלי התקיפה הדרושים לפריצה".

החוקרים העריכו כי ההאקרים העלו לרשת גיליונות XLSM (פורמט קובץ של Microsoft Excel התומך במאקרו, Macro-Enabled Workbook) מזויפים. אלה כללו פרטים על 200 מפגינים שנהרגו – לכאורה – בטהראן בין 22 בדצמבר 2025 ל-20 בינואר 2026. המסמכים הכילו, לכאורה, פרטים על משמרות המהפכה האסלאמית (IRGC), מיליציית הבסיג', משרד המודיעין, דו"חות נתיחה של ההרוגים, כולל תוצאות לגבי רעלים, מעקב אחר שחרור הגופות לבני משפחות המתים. אז מופיעה קריאת "עזרה" למשתמשים להפעיל פקודות מאקרו, וזו מפעילה את הנוזקה, שהוחדרה לגיליונות – קוד מאקרו VBA זדוני.

החוקרים כתבו כי "המתקפה היא ככל הנראה ניסיון לפגוע באנשים המחפשים מידע על נעדרים, תוך ניצול מצוקה רגשית, כדי לעורר תחושת דחיפות שקרית ולהפעיל את שרשרת ההדבקה. ניתוח נתוני הגיליון האלקטרוני, כמו גילאים ותאריכי לידה לא תואמים, מצביע על כך שמדובר בנתונים מומצאים". הדלת האחורית שהותקנה אצל הקורבנות נקראת SloppyMIO. שמה רומז על העיצוב המבולגן שלה – שנעשה במכוון – כי כל זיהום מייצר קוד שונה במקצת, מה שמקשה על כלי אבטחה לזהות ולחסום אותה. בניגוד לנוזקות "מסורתיות" שמתחברות לשרתים – SloppyMIO משתמשת בטלגרם כדי לקבל פקודות מהמפעילים שלה.

לאחר שההאקרים התבססו במערכות הקורבנות, הם אספו קבצים, ובאמצעות פקודות מרחוק – קצרו אותם.

"הנוזקה יכולה לשלוף ולאחסן כמה מודולים של אחסון מרוחק, להריץ פקודות שרירותיות, לאסוף ולהוציא קבצים ולפרוס נוספות, באופן עקבי – באמצעות משימות מתוזמנות", אמרו חוקרי הארפאנג-לאב, "אז הקבצים נשלחים לאחד מחברי הקבוצה תוך שימוש ב-Telegram Bot API לפיקוד ושליטה".

החוקרים קבעון כי מדובר בהאקרים איראנים, על בסיס השימוש בשפה הפרסית, הקשרים שלהם לשחקני איום בסייבר איראנים אחרים, נוכחות חפצים פרסיים, נושאי הפיתוי, ודמיון טקטי לקמפיינים קודמים, כולל זה של Tortoiseshell.

בסוף 2022, חוקרי Secureworks, שהם כיום חלק מסופוס (Sophos) תיארו קמפיין שנערך על ידי קבוצת Nemesis Kitten. אלה השתמשו ב-GitHub כצינור להעברת דלת אחורית המכונה Drokbk.

החוקרים ציינו, כי "מה שמסבך עוד יותר את המצב הוא האימוץ הגובר של כלי בינה מלאכותית (AI) על ידי היריבים, מה שמקשה על המגינים להבחין בין שחקן איום אחד למשנהו". לדבריהם, "התלות של שחקן האיום בתשתיות מסחריות – גיטהאב, גוגל דרייב וטלגרם – מקשה על המעקב אחריהם,  אך באופן פרדוקסלי חושפת מטא-דאטה שימושי ומציבה אתגרי אבטחה תפעוליים נוספים לשחקן האיום".

חוקרי הארפאנג-לאב הצליחו להשיג דגימות זדוניות ב-23 בינואר ושיתפו את הניתוח שלהן בסוף השבוע. הם העריכו כי הקמפיין נבנה באמצעות כלי בינה מלאכותית, בשל עקבות פיתוח שהסתייע במודלי שפה גדולים.