Se sospecha que un actor amenazador de palabra farsi vinculado con los intereses del Estado iraní está detrás de una nueva campaña dirigida a organizaciones no gubernamentales e individuos involucrados en la documentación de abusos recientes contra los derechos humanos.
La actividad, observada por HarfangLab en enero de 2026, recibió el nombre en código gatito rojo. Se dice que coincide con los disturbios nacionales en Irán que comenzaron a finales de 2025, en protesta por la inflación vertiginosa, el aumento de los precios de los alimentos y la depreciación de la moneda. La consiguiente represión ha provocado un gran número de víctimas y un corte de Internet.
“El malware se sostén en GitHub y Google Drive para la configuración y recuperación de carga útil modular, y utiliza Telegram para comando y control”, dijo la compañía francesa de ciberseguridad.
Lo que hace que la campaña sea sobresaliente es la probable dependencia del actor de amenazas de grandes modelos de idioma (LLM) para construir y orquestar las herramientas necesarias. El punto de partida del ataque es un archivo 7-Zip con un nombre de archivo en farsi que contiene documentos de Microsoft Excel con macros.
Las hojas de cálculo XLSM afirman incluir detalles sobre los manifestantes que murieron en Teherán entre el 22 de diciembre de 2025 y el 20 de enero de 2026. Pero interiormente de cada una de ellas hay una macro VBA maliciosa que, cuando está habilitada, funciona como un cuentagotas para un implante basado en C# (“AppVStreamingUX_Multi_User.dll”) mediante una técnica indicación inyección AppDomainManager.
La macro VBA, por su parte, muestra signos de acontecer sido generada por un LLM conveniente al “estilo común del código VBA, los nombres de las variables y los métodos” utilizados, así como la presencia de comentarios como “PARTE 5: Mensaje el resultado y programe si tiene éxito”.
Es probable que el ataque sea un intento de atacar a personas que buscan información sobre personas desaparecidas, explotando su angustia emocional para provocar una falsa sensación de emergencia y desencadenar la sujeción de infección. El exploración de los datos de la hoja de cálculo, como edades y fechas de inicio que no coinciden, sugiere que es inventado.
La puerta trasera, denominada SloppyMIO, utiliza GitHub como un sistema de resolución de caídas para recuperar las URL de Google Drive que alojan imágenes de las cuales se obtiene esteganográficamente su configuración, incluidos detalles del token del bot de Telegram, la identificación del chat de Telegram y enlaces que organizan varios módulos. Se admiten hasta cinco módulos diferentes:
- cm, para ejecutar comandos usando “cmd.exe”
- hacer, para compilar archivos en el host comprometido y crear un archivo ZIP para cada archivo que se ajuste a los límites de tamaño de archivo de la API de Telegram
- hacia lo alto, para escribir un archivo en “%LOCALAPPDATA%MicrosoftCLR_v4.0_32NativeImages”, con los datos del archivo codificados interiormente de una imagen obtenida a través de la API de Telegram
- pr, para crear una tarea programada de persistencia para ejecutar un ejecutable cada dos horas
- ra, para iniciar un proceso
Por otra parte, el malware es capaz de ponerse en contacto con un servidor de comando y control (C2) para señalar el ID de chat de Telegram configurado, acoger instrucciones adicionales y cursar los resultados al cámara:
- descargar, que ejecuta el módulo do
- cmd, que ejecuta el módulo cm
- runapp, para iniciar un proceso
“El malware puede recuperar y juntar en distinción múltiples módulos desde un almacenamiento remoto, ejecutar comandos arbitrarios, compilar y exfiltrar archivos y desplegar más malware con persistencia a través de tareas programadas”, dijo HarfangLab. “SloppyMIO envía mensajes de estado, sondea comandos y envía archivos exfiltrados a un cámara específico aprovechando la API de Telegram Bot para comando y control”.
En cuanto a la atribución, los vínculos con los actores iraníes se basan en la presencia de artefactos farsi, los temas señuelo y las similitudes tácticas con campañas anteriores, incluida la de Tortoiseshell, que ha laborioso documentos Excel maliciosos para entregar IMAPLoader mediante la inyección de AppDomainManager.
La dilema de GitHub por parte de los atacantes como solucionador de caídas muertas siquiera carece de precedentes. A finales de 2022, Secureworks (ahora parte de Sophos) detalló una campaña emprendida por un subgrupo de un conjunto de estado-nación iraní conocido como Nemesis Kitten que utilizó GitHub como conducto para entregar una puerta trasera denominada Drokbk.
Para complicar aún más las cosas, está la creciente asimilación de herramientas de inteligencia químico (IA) por parte de los adversarios, lo que dificulta que los defensores distingan a un actor del otro.
“La dependencia del actor de amenazas de la infraestructura mercantilizada (GitHub, Google Drive y Telegram) obstaculiza el seguimiento tradicional basado en la infraestructura, pero paradójicamente expone metadatos efectos y plantea otros desafíos de seguridad operativa para el actor de amenazas”, dijo HarfangLab.
El progreso se produce un par de semanas posteriormente de que el propagandista iraní radicado en el Reino Unido e investigador independiente de ciberespionaje, Nariman Gharib, revelara detalles de un enlace de phishing (“whatsapp-meeting.duckdns(.)org”) que se distribuye a través de WhatsApp y captura las credenciales de las víctimas mostrando una página web de inicio de sesión falsa de WhatsApp.
“La página sondea el servidor del atacante cada segundo a través de /api/p/{victim_id}/”, explicó Gharib. “Esto permite al atacante cursar un código QR en vivo desde su propia sesión web de WhatsApp directamente a la víctima. Cuando el objetivo lo escanea con su teléfono, pensando que se está uniendo a una ‘reunión’, en ingenuidad está autenticando la sesión del navegador del atacante. El atacante obtiene entrada completo a la cuenta de WhatsApp de la víctima”.
La página de phishing además está diseñada para solicitar permisos del navegador para ceder a la cámara, el micrófono y la geolocalización del dispositivo, convirtiéndolo efectivamente en un kit de vigilancia que puede capturar fotografías, audio y paradero flagrante de las víctimas. Actualmente no se sabe quién está detrás de la campaña ni cuál fue la motivación detrás de ella.
Zack Whittaker de TechCrunch, quien descubrió más detalles sobre la actividad, dijo que además tiene como objetivo robar credenciales de Gmail al ofrecer una página de inicio de sesión de Gmail falsa que recopila la contraseña de la víctima y el código de autenticación de dos factores (2FA). Se ha descubierto que unas 50 personas resultaron afectadas. Esto incluye a personas comunes y corrientes de la comunidad kurda, académicos, funcionarios gubernamentales, líderes empresariales y otras figuras importantes.
Los hallazgos además se producen a raíz de una importante filtración sufrida por el conjunto de hackers iraní Charming Kitten que dejó al descubierto su funcionamiento interno, su estructura organizativa y el personal secreto involucrado. Las filtraciones además arrojan luz sobre una plataforma de vigilancia indicación Kashef (además conocida como Discoverer o Revealer) para rastrear a ciudadanos iraníes y extranjeros mediante la agregación de datos recopilados por diferentes departamentos asociados con el Cuerpo de la Gendarme Revolucionaria Islámica (CGRI).
En octubre de 2025, Gharib además puso a disposición una saco de datos que contenía 1.051 personas que se inscribieron en diversos programas de capacitación ofrecidos por la Entidad Ravin, una escuela de ciberseguridad fundada por dos agentes del Tarea de Inteligencia y Seguridad de Irán (MOIS), Seyed Mojtaba Mostafavi y Farzin Karimi. La entidad fue sancionada por el Área del Reservas de Estados Unidos en octubre de 2022 por apoyar y permitir las operaciones de MOIS.
Esto incluye ayudar a MOIS con capacitación en seguridad de la información, búsqueda de amenazas, ciberseguridad, equipos rojos, exploración forense digital, exploración de malware, auditoría de seguridad, pruebas de penetración, defensa de redes, respuesta a incidentes, exploración de vulnerabilidad, pruebas de penetración móvil, ingeniería inversa e investigación de seguridad.
“El maniquí permite al MOIS subcontratar el quinta auténtico y la investigación mientras mantiene el control activo a través de la relación directa de los fundadores con el servicio de inteligencia”, dijo Gharib. “Esta estructura de doble propósito permite a MOIS desarrollar renta humano para operaciones cibernéticas manteniendo al mismo tiempo una capa de separación de la atribución directa del gobierno”.
