האקרים איראניים עומדים מאחורי מתקפת סייבר המכוונת נגד ארגונים לא ממשלתיים ואנשים המעורבים בתיעוד הפרות זכויות אדם באיראן. מתקפת סייבר זו שנצפתה על ידי חברת אבטחת הסייבר הצרפתית HarfangLab בינואר 2026, בוצעה על ידי קבצת הסייבר האיראנית RedKitten והיא חופפת למחאות הציבוריות שהחלו באיראן לקראת סוף 2025 במחאה על אינפלציה גוברת, עליית מחירי המזון ופיחות המטבע. הדיכוי שהופעל על ידי הממשל האיראני בעקבות זאת הביא לנפגעים המוניים ולהשבתת האינטרנט באיראן. "הנוזקה בה השתמשו ההאקרים האיראניים מסתמכת על GitHub ו- Google Drive לצורך תצורה ואחזור מודולרי של מטען זדוני ומשתמשת בטלגרם לצורך פיקוד ובקרה", מסרה HarfangLab.
מתקפת סייבר זו מסתמכת על מודלים של שפה (LLMs) כדי לבנות ולתזמר את הכלים הדרושים למתקפה. נקודת המוצא של המתקפה היא ארכיון 7-Zip עם שם קובץ בפרסית המכיל מסמכי Microsoft Excel המשולבים במאקרו. גיליונות האלקטרוניים של XLSM טוענים שהם כוללים פרטים על מפגינים שנהרגו בטהרן בין ה- 22 בדצמבר 2025 ל- 20 בינואר 2026. אך בכל אחד מהם מוטמע מאקרו VBA זדוני, אשר כאשר מופעל, הוא מפעיל הזרקת AppDomainManager. מאקרו ה- VBA מראה סימנים שהוא נוצר על ידי LLM, עקב הסגנון הכללי של קוד ה- VBA, שמות המשתנים והשיטות שבהן נעשה שימוש, כמו גם נוכחותן של הערות כמו "חלק 5: דווח על התוצאה ותזמן אם הצליח".
המתקפה היא ככל הנראה ניסיון לכוון אנשים המחפשים מידע על נעדרים, תוך ניצול מצוקתם הרגשית כדי לעורר תחושת דחיפות כוזבת ולהפעיל את שרשרת ההדבקה. ניתוח נתוני הגיליון האלקטרוני, כגון גילאים ותאריכי לידה שאינם תואמים לגיל – מצביע על כך שהוא מפוברק. הדלת האחורית, המכונה SloppyMIO, משתמשת ב- GitHub כפתרון dead drop כדי לאחזר כתובות URL של Google Drive המארחות תמונות, מהן התצורה שלה מתקבלת באופן סטגנוגרפי, כולל פרטים על אסימון הבוט של Telegram, מזהה הצ'אט של Telegram וקישורים המשלבים מודולים שונים. בנוסף, מסוגלת הנוזקה ליצור קשר עם שרת פקודה ובקרה (C2) כדי לשלוח אות למזהה הצ'אט של Telegram שהוגדר, לקבל הוראות נוספות ולשלוח את התוצאות בחזרה למפעיל.
