Se sospecha que un actor de amenazas de habla persa alineado con los intereses del estado iraní está detrás de una nueva campaña dirigida a organizaciones no gubernamentales y personas que participan en la documentación de los recientes abusos contra los derechos humanos.

El actividad , observado por HarfangLab en enero de 2026, recibe el nombre en código Gatito rojo . Se dice que coincide con el disturbios en todo el país en Irán, que comenzó a finales de 2025, en protesta por el aumento de la inflación, el aumento de los precios de los alimentos y la depreciación de la moneda. La represión subsiguiente ha resultado en bajas masivas y un apagón de internet .

«El malware se basa en GitHub y Google Drive para la configuración y la recuperación modular de la carga útil, y utiliza Telegram para el comando y el control», dijo la empresa francesa de ciberseguridad.

Lo que hace que la campaña destaque es la probabilidad de que el actor de amenazas dependa de los modelos lingüísticos extensos (LLM) para crear y organizar las herramientas necesarias. El punto de partida del ataque es un Archivo 7-Zip con un nombre de archivo en farsi que contiene documentos de Microsoft Excel con macros.

Las hojas de cálculo del XLSM afirman incluir detalles sobre los manifestantes que murieron en Teherán entre el 22 de diciembre de 2025 y el 20 de enero de 2026. Sin embargo, cada una de ellas contiene una macro maliciosa de VBA que, cuando está habilitada, funciona como cuentagotas para un implante en C# (» AppVStreamingUX_Multi_User.dll «) mediante una técnica denominada Inyección de AppDomainManager .

La macro de VBA, por su parte, muestra signos de haber sido generada por un LLM debido al «estilo general del código de VBA, los nombres de las variables y los métodos» utilizados, así como a la presencia de comentarios como «PARTE 5: Informe el resultado y programe si tiene éxito».

Es probable que el ataque sea un esfuerzo dirigido a personas que buscan información sobre personas desaparecidas, explotando su angustia emocional para provocar una falsa sensación de urgencia y desencadenar la cadena de infección. El análisis de los datos de la hoja de cálculo, como la falta de coincidencia de edades y fechas de nacimiento, sugiere que se trata de una invención.

La puerta trasera, denominada SloppyMio, utiliza GitHub como un solucionador sin salida para recuperar las URL de Google Drive que alojan imágenes de las que se obtiene su configuración esteganográficamente, incluidos detalles del token del bot de Telegram, el ID de chat de Telegram y los enlaces que muestran varios módulos. Se admiten hasta cinco módulos diferentes -

  • cm, para ejecutar comandos mediante "cmd.exe»
  • do, para recopilar archivos en el host comprometido y crear un archivo ZIP para cada archivo que se ajuste a los límites de tamaño de archivo de la API de Telegram
  • arriba, para escribir un archivo en «%LOCALAPPDATA%\ Microsoft\ CLR_v4.0_32\ NativeImages\», con los datos del archivo codificados en una imagen obtenida mediante la API de Telegram
  • pr, para crear una tarea programada de persistencia para ejecutar un ejecutable cada dos horas
  • ra, para iniciar un proceso

Además, el malware es capaz de contactar con un servidor de comando y control (C2) para dirigirlo al ID de chat de Telegram configurado, recibir instrucciones adicionales y enviar los resultados al operador:

  • descargar, que ejecuta el módulo do
  • cmd, que ejecuta el módulo cm
  • runapp, para iniciar un proceso

«El malware puede recuperar y almacenar en caché varios módulos del almacenamiento remoto, ejecutar comandos arbitrarios, recopilar y filtrar archivos e implementar más malware con persistencia mediante tareas programadas», afirma HarfangLab. «SloppyMio monitoriza los mensajes de estado, sondea en busca de comandos y envía los archivos filtrados a un operador específico, aprovechando la API de bots de Telegram para el comando y el control».

En cuanto a la atribución, los vínculos con actores iraníes se basan en la presencia de artefactos farsi, los temas de atracción y las similitudes tácticas con campañas anteriores, incluida la de carey , que ha aprovechado documentos maliciosos de Excel para entregar IMAPploader mediante la inyección de AppDomainManager.

La elección de GitHub por parte de los atacantes como solución sin salida tampoco carece de precedentes. A finales de 2022, Secureworks (que ahora forma parte de Sophos) detalló una campaña emprendida por un subgrupo de un grupo estatal nacional iraní conocido como Gatito Némesis que utilizaba GitHub como conducto para entregar una puerta trasera denominada Drokbk.

Para complicar aún más las cosas, está la creciente adopción de herramientas de inteligencia artificial (IA) por parte de los adversarios, lo que dificulta que los defensores distingan a un actor de otro.

«La dependencia del actor de la amenaza de la infraestructura mercantilizada (GitHub, Google Drive y Telegram) dificulta el seguimiento tradicional basado en la infraestructura, pero paradójicamente expone metadatos útiles y plantea otros desafíos de seguridad operativa para el actor de la amenaza», afirma HarfangLab.

La noticia se produce un par de semanas después de que Nariman Gharib, activista iraní e investigador independiente de ciberespionaje afincado en el Reino Unido, revelara detalles sobre un enlace de suplantación de identidad («whatsapp-meeting.duckdns [.] org») que se distribuye a través de WhatsApp y captura las credenciales de las víctimas al mostrar una página de inicio de sesión web falsa de WhatsApp.

«La página sondea el servidor del atacante cada segundo a través de /api/p/ {victim_id}/», Gharib explicó . «Esto permite al atacante enviar un código QR en vivo desde su propia sesión web de WhatsApp directamente a la víctima. Cuando el objetivo lo escanea con su teléfono, pensando que se está uniendo a una «reunión», en realidad está autenticando la sesión del navegador del atacante. El atacante obtiene acceso total a la cuenta de WhatsApp de la víctima».

La página de suplantación de identidad también está diseñada para solicitar permisos del navegador para acceder a la cámara, el micrófono y la geolocalización del dispositivo, lo que la convierte de manera efectiva en un kit de vigilancia que puede capturar las fotos, el audio y el paradero actual de las víctimas. Actualmente no se sabe quién está detrás de la campaña ni cuál fue la motivación detrás de ella.

Zack Whittaker de TechCrunch, quien descubrió más detalles sobre la actividad, dijo que también tiene como objetivo robar las credenciales de Gmail al publicar una página de inicio de sesión de Gmail falsa que recopila la contraseña y el código de autenticación de dos factores (2FA) de la víctima. Se ha descubierto que unas 50 personas se han visto afectadas. Esto incluye a personas comunes y corrientes de la comunidad kurda, académicos, funcionarios gubernamentales, líderes empresariales y otras figuras importantes.

Los hallazgos también se producen después de una fuga importante sufrido por el grupo de hackers iraní Charming Kitten, que puso al descubierto su funcionamiento interno, su estructura organizativa y el personal clave involucrado. Las filtraciones también arrojan luz sobre una plataforma de vigilancia denominada Kashef (también conocido como Discoverer o Revelador ) para rastreo Ciudadanos iraníes y ciudadanos extranjeros mediante la agregación de los datos recopilados por diferentes departamentos asociados con el Cuerpo de la Guardia Revolucionaria Islámica (IRGC).

En octubre de 2025, Gharib también puesto a disposición una base de datos que contiene 1.051 individuos que se inscribió en varios programas de formación ofrecidos por Ravin Academy, una escuela de ciberseguridad fundada por dos agentes del Ministerio de Inteligencia y Seguridad (MOIS) de Irán, Seyed Mojtaba Mostafavi y Farzin Karimi. La entidad era sancionado por el Departamento del Tesoro de los Estados Unidos en octubre de 2022 por apoyar y permitir las operaciones del MOIS.

Esto incluye ayudar al MOIS con la formación en seguridad de la información, la búsqueda de amenazas, la ciberseguridad, el trabajo en red, el análisis forense digital, el análisis de malware, la auditoría de seguridad, las pruebas de penetración, la defensa de la red, la respuesta a incidentes, el análisis de vulnerabilidades, las pruebas de penetración móvil, la ingeniería inversa y la investigación de seguridad.

«El modelo permite al MOIS subcontratar la contratación inicial y la investigación de antecedentes y, al mismo tiempo, mantener el control operativo a través de la relación directa de los fundadores con el servicio de inteligencia», dijo Gharib. «Esta estructura de doble propósito permite al MOIS desarrollar el capital humano para las operaciones cibernéticas y, al mismo tiempo, mantener un nivel de separación con respecto a la atribución directa del gobierno».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.