De aan Iran gelinkte RedKitten-cybercampagne richt zich op mensenrechten-ngo’s en activisten

Cyberbeveiliging
De aan Iran gelinkte RedKitten-cybercampagne richt zich op mensenrechten-ngo's en activisten

Een Farsi-sprekende dreigingsactoren die zich aansluiten bij de Iraanse staatsbelangen wordt ervan verdacht achter een nieuwe campagne te zitten die zich richt op niet-gouvernementele organisaties en individuen die betrokken zijn bij het documenteren van recente mensenrechtenschendingen.

De activiteit, waargenomen door HarfangLab in januari 2026, heeft de codenaam gekregen RoodKitten. Er wordt gezegd dat het samenviel met de landelijke onrust in Iran die eind 2025 begon, als protest tegen de stijgende inflatie, stijgende voedselprijzen en de waardedaling van de munt. Het daaropvolgende harde optreden heeft geresulteerd in massale slachtoffers en een internetstoring.

“De malware vertrouwt op GitHub en Google Drive voor de configuratie en het ophalen van modulaire payloads, en gebruikt Telegram voor command-and-control”, aldus het Franse cyberbeveiligingsbedrijf.

Wat de campagne opmerkelijk maakt, is de waarschijnlijke afhankelijkheid van de dreigingsactoren van grote taalmodellen (LLM’s) om de noodzakelijke tools te bouwen en te orkestreren. Het startpunt van de aanval is een 7-Zip-archief met een Farsi-bestandsnaam dat macro-geregen Microsoft Excel-documenten bevat.

De XLSM-spreadsheets beweren details te bevatten over demonstranten die tussen 22 december 2025 en 20 januari 2026 in Teheran zijn omgekomen. Maar in elk daarvan zit een kwaadaardige VBA-macro ingebed, die, indien ingeschakeld, functioneert als een dropper voor een op C# gebaseerd implantaat (“AppVStreamingUX_Multi_User.dll”) door middel van een techniek genaamd AppDomainManager injection.

De VBA-macro vertoont op zijn beurt tekenen dat deze door een LLM is gegenereerd vanwege de “algemene stijl van de VBA-code, de gebruikte namen en methoden van variabelen”, evenals de aanwezigheid van opmerkingen zoals “DEEL 5: rapporteer het resultaat en plan indien succesvol.”

De aanval is waarschijnlijk een poging om individuen te targeten die op zoek zijn naar informatie over vermiste personen, waarbij ze hun emotionele nood uitbuiten om een ​​vals gevoel van urgentie op te wekken en de infectieketen in gang te zetten. Analyse van de spreadsheetgegevens, zoals niet-overeenkomende leeftijden en geboortedata, suggereert dat deze verzonnen zijn.

De achterdeur, genaamd SloppyMIO, gebruikt GitHub als een dead drop-resolver om Google Drive-URL’s op te halen die afbeeldingen hosten waarvan de configuratie steganografisch wordt verkregen, inclusief details van het Telegram-bottoken, Telegram-chat-ID en links die verschillende modules organiseren. Er worden maar liefst vijf verschillende modules ondersteund –

  • cm, om opdrachten uit te voeren met “cmd.exe”
  • doen, om bestanden op de gecompromitteerde host te verzamelen en een ZIP-archief te maken voor elk bestand dat binnen de bestandsgroottelimieten van de Telegram API past
  • up, om een ​​bestand te schrijven naar “%LOCALAPPDATA%MicrosoftCLR_v4.0_32NativeImages”, waarbij de bestandsgegevens gecodeerd zijn in een afbeelding die is opgehaald via de Telegram API
  • pr, om een ​​geplande taak voor persistentie te maken om elke twee uur een uitvoerbaar bestand uit te voeren
  • ra, om een ​​proces te starten

Bovendien kan de malware contact maken met een command-and-control (C2)-server om de geconfigureerde Telegram-chat-ID te beaconen, aanvullende instructies te ontvangen en de resultaten terug te sturen naar de operator:

  • download, waarmee de do-module wordt uitgevoerd
  • cmd, waarmee de cm-module wordt uitgevoerd
  • runapp, om een ​​proces te starten

“De malware kan meerdere modules uit externe opslag halen en in de cache opslaan, willekeurige opdrachten uitvoeren, bestanden verzamelen en exfiltreren en met volharding verdere malware inzetten via geplande taken”, aldus HarfangLab. “SloppyMIO beaconeert statusberichten, vraagt ​​naar commando’s en stuurt geëxfiltreerde bestanden naar een specifieke operator, waarbij gebruik wordt gemaakt van de Telegram Bot API voor command-and-control.”

Wat de toeschrijving betreft, zijn de links naar Iraanse actoren gebaseerd op de aanwezigheid van Farsi-artefacten, de lokthema’s en tactische overeenkomsten met eerdere campagnes, waaronder die van Tortoiseshell, die kwaadaardige Excel-documenten heeft gebruikt om IMAPLoader te leveren met behulp van AppDomainManager-injectie.

De keuze van de aanvallers voor GitHub als dead drop-resolver is ook niet zonder precedent. Eind 2022 beschreef Secureworks (nu onderdeel van Sophos) een campagne die werd ondernomen door een subcluster van een Iraanse natiestaatgroep, bekend als Nemesis Kitten, die GitHub gebruikte als kanaal om een ​​achterdeur te realiseren die Drokbk wordt genoemd.

Wat de zaken nog ingewikkelder maakt, is de toenemende acceptatie van kunstmatige intelligentie (AI)-instrumenten door tegenstanders, waardoor het voor verdedigers moeilijker wordt om de ene actor van de andere te onderscheiden.

“De afhankelijkheid van de dreigingsactor van gecommoditiseerde infrastructuur (GitHub, Google Drive en Telegram) belemmert de traditionele, op infrastructuur gebaseerde tracking, maar legt paradoxaal genoeg nuttige metadata bloot en stelt de dreigingsactor voor andere operationele veiligheidsuitdagingen”, aldus HarfangLab.

De ontwikkeling komt een paar weken nadat de in Groot-Brittannië gevestigde Iraanse activist en onafhankelijke cyberspionage-onderzoeker Nariman Gharib details onthulde van een phishing-link (“whatsapp-meeting.duckdns(.)org”) die via WhatsApp wordt verspreid en de inloggegevens van slachtoffers vastlegt door een valse WhatsApp-webinlogpagina weer te geven.

“De pagina ondervraagt ​​elke seconde de server van de aanvaller via /api/p/{victim_id}/”, legt Gharib uit. “Hierdoor kan de aanvaller een live QR-code van zijn eigen WhatsApp-websessie rechtstreeks aan het slachtoffer sturen. Wanneer het doelwit deze met zijn telefoon scant, in de veronderstelling dat hij of zij deelneemt aan een ‘vergadering’, authenticeert hij in feite de browsersessie van de aanvaller. De aanvaller krijgt volledige toegang tot het WhatsApp-account van het slachtoffer.”

De phishing-pagina is ook ontworpen om browsertoestemming te vragen voor toegang tot de camera, microfoon en geolocatie van het apparaat, waardoor deze in feite wordt omgezet in een bewakingskit die foto’s, audio en huidige verblijfplaats van slachtoffers kan vastleggen. Het is momenteel niet bekend wie er achter de campagne zit, of wat de motivatie erachter was.

Zack Whittaker van TechCrunch, die meer details over de activiteit ontdekte, zei dat het ook gericht is op het stelen van Gmail-inloggegevens door een nep-Gmail-inlogpagina weer te geven die het wachtwoord van het slachtoffer en de tweefactorauthenticatiecode (2FA) verzamelt. Ongeveer 50 personen zijn getroffen. Dit omvat gewone mensen in de Koerdische gemeenschap, academici, overheidsfunctionarissen, bedrijfsleiders en andere hoge figuren.

De bevindingen komen ook in de nasleep van een groot lek van de Iraanse hackgroep Charming Kitten, dat de interne werking, de organisatiestructuur en het belangrijkste betrokken personeel blootlegde. De lekken werpen ook licht op een surveillanceplatform genaamd Kashef (ook bekend als Discoverer of Revealer) voor het volgen van Iraanse burgers en buitenlandse staatsburgers door gegevens te verzamelen die zijn verzameld door verschillende afdelingen die verband houden met de Islamitische Revolutionaire Garde (IRGC).

In oktober 2025 stelde Gharib ook een database beschikbaar met daarin 1.051 personen die zich hadden ingeschreven voor verschillende trainingsprogramma’s aangeboden door de Ravin Academy, een cyberbeveiligingsschool opgericht door twee agenten van het Iraanse Ministerie van Inlichtingen en Veiligheid (MOIS), Seyed Mojtaba Mostafavi en Farzin Karimi. De entiteit kreeg in oktober 2022 sancties van het Amerikaanse ministerie van Financiën voor het ondersteunen en mogelijk maken van de activiteiten van MOIS.

Dit omvat het assisteren van MOIS met informatiebeveiligingstraining, jacht op bedreigingen, cyberbeveiliging, red teaming, digitaal forensisch onderzoek, malware-analyse, beveiligingsaudit, penetratietesten, netwerkverdediging, incidentrespons, kwetsbaarheidsanalyse, mobiele penetratietesten, reverse engineering en beveiligingsonderzoek.

“Het model stelt MOIS in staat om de initiële rekrutering en doorlichting uit te besteden, terwijl de operationele controle behouden blijft via de directe relatie van de oprichters met de inlichtingendienst”, aldus Gharib. “Deze tweeledige structuur stelt MOIS in staat menselijk kapitaal te ontwikkelen voor cyberoperaties, terwijl er een scheidingslaag behouden blijft ten opzichte van directe overheidsattributie.”

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Amazon’s OpenAI-deal ter waarde van $ 50 miljard: uitdaging van de dominantie van grote technologiebedrijven

Apple zegt dat hogere RAM-prijzen de zaken in de toekomst meer kunnen beïnvloeden

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]