Se sospecha que un actor amenazador de habla farsi alineado con los intereses del Estado iraní está detrás de una nueva campaña dirigida a organizaciones no gubernamentales e individuos involucrados en la documentación de abusos recientes contra los derechos humanos.
La actividad, observada por HarfangLab en enero de 2026, recibió el nombre en código gatito rojo. Se dice que coincide con los disturbios nacionales en Irán que comenzaron a finales de 2025, en protesta por la inflación vertiginosa, el aumento de los precios de los alimentos y la depreciación de la moneda. La consiguiente represión ha provocado un gran número de víctimas y un apagón de Internet.
«El malware se basa en GitHub y Google Drive para la configuración y recuperación de carga útil modular, y utiliza Telegram para comando y control», dijo la compañía francesa de ciberseguridad.
Lo que hace que la campaña sea notable es la probable dependencia del actor de amenazas de grandes modelos de lenguaje (LLM) para construir y orquestar las herramientas necesarias. El punto de partida del ataque es un archivo 7-Zip con un nombre de archivo en farsi que contiene documentos de Microsoft Excel con macros.
Las hojas de cálculo XLSM afirman incluir detalles sobre los manifestantes que murieron en Teherán entre el 22 de diciembre de 2025 y el 20 de enero de 2026. Pero dentro de cada una de ellas hay una macro VBA maliciosa que, cuando está habilitada, funciona como un gotero para un implante basado en C# («AppVStreamingUX_Multi_User.dll») mediante una técnica llamada inyección AppDomainManager.
La macro VBA, por su parte, muestra signos de haber sido generada por un LLM debido al «estilo general del código VBA, los nombres de las variables y los métodos» utilizados, así como la presencia de comentarios como «PARTE 5: Informe el resultado y programe si tiene éxito».
Es probable que el ataque sea un intento de atacar a personas que buscan información sobre personas desaparecidas, explotando su angustia emocional para provocar una falsa sensación de urgencia y desencadenar la cadena de infección. El análisis de los datos de la hoja de cálculo, como edades y fechas de nacimiento que no coinciden, sugiere que es inventado.
La puerta trasera, denominada SloppyMIO, utiliza GitHub como un sistema de resolución de caídas para recuperar las URL de Google Drive que alojan imágenes de las cuales se obtiene esteganográficamente su configuración, incluidos detalles del token del bot de Telegram, la identificación del chat de Telegram y enlaces que organizan varios módulos. Se admiten hasta cinco módulos diferentes:
- cm, para ejecutar comandos usando «cmd.exe»
- hacer, para recopilar archivos en el host comprometido y crear un archivo ZIP para cada archivo que se ajuste a los límites de tamaño de archivo de la API de Telegram
- arriba, para escribir un archivo en «%LOCALAPPDATA%MicrosoftCLR_v4.0_32NativeImages», con los datos del archivo codificados dentro de una imagen obtenida a través de la API de Telegram
- pr, para crear una tarea programada de persistencia para ejecutar un ejecutable cada dos horas
- ra, para iniciar un proceso
Además, el malware es capaz de ponerse en contacto con un servidor de comando y control (C2) para señalar el ID de chat de Telegram configurado, recibir instrucciones adicionales y enviar los resultados al operador:
- descargar, que ejecuta el módulo do
- cmd, que ejecuta el módulo cm
- runapp, para iniciar un proceso
«El malware puede recuperar y almacenar en caché múltiples módulos desde un almacenamiento remoto, ejecutar comandos arbitrarios, recopilar y exfiltrar archivos y desplegar más malware con persistencia a través de tareas programadas», dijo HarfangLab. «SloppyMIO envía mensajes de estado, sondea comandos y envía archivos exfiltrados a un operador específico aprovechando la API de Telegram Bot para comando y control».
En cuanto a la atribución, los vínculos con los actores iraníes se basan en la presencia de artefactos farsi, los temas señuelo y las similitudes tácticas con campañas anteriores, incluida la de Tortoiseshell, que ha aprovechado documentos Excel maliciosos para entregar IMAPLoader mediante la inyección de AppDomainManager.
La elección de GitHub por parte de los atacantes como solucionador de caídas muertas tampoco carece de precedentes. A finales de 2022, Secureworks (ahora parte de Sophos) detalló una campaña emprendida por un subgrupo de un grupo de estado-nación iraní conocido como Nemesis Kitten que utilizó GitHub como conducto para entregar una puerta trasera denominada Drokbk.
Para complicar aún más las cosas, está la creciente adopción de herramientas de inteligencia artificial (IA) por parte de los adversarios, lo que dificulta que los defensores distingan a un actor del otro.
«La dependencia del actor de amenazas de la infraestructura mercantilizada (GitHub, Google Drive y Telegram) obstaculiza el seguimiento tradicional basado en la infraestructura, pero paradójicamente expone metadatos útiles y plantea otros desafíos de seguridad operativa para el actor de amenazas», dijo HarfangLab.
El desarrollo se produce un par de semanas después de que el activista iraní radicado en el Reino Unido e investigador independiente de ciberespionaje, Nariman Gharib, revelara detalles de un enlace de phishing («whatsapp-meeting.duckdns(.)org») que se distribuye a través de WhatsApp y captura las credenciales de las víctimas mostrando una página web de inicio de sesión falsa de WhatsApp.
«La página sondea el servidor del atacante cada segundo a través de /api/p/{victim_id}/», explicó Gharib. «Esto permite al atacante enviar un código QR en vivo desde su propia sesión web de WhatsApp directamente a la víctima. Cuando el objetivo lo escanea con su teléfono, pensando que se está uniendo a una ‘reunión’, en realidad está autenticando la sesión del navegador del atacante. El atacante obtiene acceso completo a la cuenta de WhatsApp de la víctima».
La página de phishing también está diseñada para solicitar permisos del navegador para acceder a la cámara, el micrófono y la geolocalización del dispositivo, convirtiéndolo efectivamente en un kit de vigilancia que puede capturar fotografías, audio y paradero actual de las víctimas. Actualmente no se sabe quién está detrás de la campaña ni cuál fue la motivación detrás de ella.
Zack Whittaker de TechCrunch, quien descubrió más detalles sobre la actividad, dijo que también tiene como objetivo robar credenciales de Gmail al ofrecer una página de inicio de sesión de Gmail falsa que recopila la contraseña de la víctima y el código de autenticación de dos factores (2FA). Se ha descubierto que unas 50 personas resultaron afectadas. Esto incluye a personas comunes y corrientes de la comunidad kurda, académicos, funcionarios gubernamentales, líderes empresariales y otras figuras importantes.
Los hallazgos también se producen a raíz de una importante filtración sufrida por el grupo de hackers iraní Charming Kitten que dejó al descubierto su funcionamiento interno, su estructura organizativa y el personal clave involucrado. Las filtraciones también arrojan luz sobre una plataforma de vigilancia llamada Kashef (también conocida como Discoverer o Revealer) para rastrear a ciudadanos iraníes y extranjeros mediante la agregación de datos recopilados por diferentes departamentos asociados con el Cuerpo de la Guardia Revolucionaria Islámica (CGRI).
En octubre de 2025, Gharib también puso a disposición una base de datos que contenía 1.051 personas que se inscribieron en diversos programas de capacitación ofrecidos por la Academia Ravin, una escuela de ciberseguridad fundada por dos agentes del Ministerio de Inteligencia y Seguridad de Irán (MOIS), Seyed Mojtaba Mostafavi y Farzin Karimi. La entidad fue sancionada por el Departamento del Tesoro de Estados Unidos en octubre de 2022 por apoyar y permitir las operaciones de MOIS.
Esto incluye ayudar a MOIS con capacitación en seguridad de la información, búsqueda de amenazas, ciberseguridad, equipos rojos, análisis forense digital, análisis de malware, auditoría de seguridad, pruebas de penetración, defensa de redes, respuesta a incidentes, análisis de vulnerabilidad, pruebas de penetración móvil, ingeniería inversa e investigación de seguridad.
«El modelo permite al MOIS subcontratar el reclutamiento inicial y la investigación mientras mantiene el control operativo a través de la relación directa de los fundadores con el servicio de inteligencia», dijo Gharib. «Esta estructura de doble propósito permite a MOIS desarrollar capital humano para operaciones cibernéticas manteniendo al mismo tiempo una capa de separación de la atribución directa del gobierno».