كشفت تقارير أمنية حديثة عن حملة تجسس إلكتروني جديدة تدعى RedKitten، يُعتقد أنها مرتبطة بجهات إيرانية وتستهدف المنظمات غير الحكومية والناشطين في مجال حقوق الإنسان.
وتأتي هذه الهجمات في وقت حساس يتزامن مع الاضطرابات الداخلية، حيث يستغل المهاجمون التكنولوجيا المتقدمة لاختراق أجهزة الضحايا وسرقة بياناتهم الحساسة، بحسب ما رصده فريق تيكبامين.
ما هي تفاصيل حملة RedKitten السيبرانية؟
تم رصد نشاط هذه المجموعة لأول مرة في يناير 2026، وتزامن ذلك مع موجة الاحتجاجات التي شهدتها إيران ضد التضخم وارتفاع الأسعار.
تتميز الحملة باعتمادها على تقنيات متطورة لخداع الضحايا، حيث تبدأ الهجمات عادةً بملفات مضغوطة تحتوي على مستندات Excel ملغمة ببرمجيات خبيثة، تدعي أنها تحتوي على معلومات حول المتظاهرين المفقودين.
كيف يوظف المهاجمون الذكاء الاصطناعي؟
أحد أبرز ملامح هذه الحملة هو الاستخدام المحتمل لنماذج الذكاء الاصطناعي (LLMs) في كتابة التعليمات البرمجية الخبيثة، مما يجعل اكتشافها أكثر صعوبة.
وقد أظهر تحليل الكود المصدري للماكرو المستخدم في الهجمات علامات واضحة على توليده آلياً، مثل:
- أسلوب صياغة كود VBA والتعليقات المضمنة.
- استخدام أسماء متغيرات وطرق برمجية نمطية.
- وجود تعليقات تشير إلى خطوات مجدولة آلياً.
ما هي قدرات برمجية SloppyMIO الخبيثة؟
تعتمد الحملة على برمجية خلفية (Backdoor) أطلق عليها اسم SloppyMIO، والتي تستخدم بنية تحتية معقدة للتخفي والتحكم.
وتشمل القدرات التقنية لهذه البرمجية ما يلي:
- استخدام GitHub لتحديد عناوين التوجيه.
- جلب التكوينات من صور مخزنة على Google Drive بتقنية إخفاء المعلومات (Steganography).
- استخدام تطبيق Telegram كقناة للقيادة والسيطرة (C2).
- تنفيذ أوامر عشوائية وسرقة الملفات من الجهاز المصاب.
كيف تتم عملية الاختراق؟
تستغل الحملة الجوانب العاطفية للضحايا من خلال ملفات تزعم تقديم تفاصيل عن ضحايا الاحتجاجات في طهران، مما يدفع المستخدمين لفتح الملفات وتفعيل الماكرو.
وبمجرد التفعيل، يتم حقن البرمجيات الخبيثة باستخدام تقنية AppDomainManager، مما يمنح المهاجمين وصولاً دائماً للنظام المستهدف.
كيف تحمي نفسك من هذه الهجمات؟
يوصي خبراء الأمن الرقمي وتيكبامين بضرورة الحذر عند التعامل مع الملفات المجهولة، خاصة تلك التي تصل عبر قنوات غير رسمية وتتعلق بمواضيع حساسة.
يجب دائماً التحقق من مصدر الملفات وتجنب تفعيل وحدات الماكرو في مستندات Office ما لم تكن من مصدر موثوق تماماً، لضمان سلامة بياناتك من الاختراق.
