Ayrıca, Farsça konuşan bir tehdit aktörünün, son insan hakları ihlallerini belgelerine geçen STK’lara ve bireylere yönelik yeni bir kampanyanın arkasında olduğu düşünülüyor. Bu durum, siber güvenlik alanında ciddi bir tehlike oluşturuyor.
Kampanya ve Etkileri
HarfangLab tarafından Ocak 2026’da gözlemlenen faaliyet, RedKitten adıyla kodlanmıştır. 2025 yılı sonunda başlayan ve yüksek enflasyon ile gıda fiyatlarındaki artışa karşı yapılan ulusal gösterilerle örtüşmektedir. Bu süreçte yapılan sert müdahaleler, kitlesel can kaybına ve bir internet kesintisine yol açmıştır.
Saldırı Nasıl Çalışıyor?
Bu kötü amaçlı yazılım, yapılandırma ve modüler yüklerin alımı için GitHub ile Google Drive’ı kullanmakta, Telegram’ı ise komut ve kontrol aracı olarak kullanmaktadır. Saldırının başlangıç noktası ise, içinde makro içeren Microsoft Excel belgeleri barındıran Farsça bir isimli 7-Zip arşivi‘dir. Bu XLSM tabloları, 22 Aralık 2025 ile 20 Ocak 2026 tarihleri arasında Tahran’da ölen protestocularla ilgili detaylar barındırdığını iddia etmektedir. Ancak, her birinin içinde yer alan kötü niyetli VBA makrosu çalıştırıldığında, C# tabanlı bir implant olan AppVStreamingUX_Multi_User.dll‘yi indiren bir yükleyici olarak işlev görmektedir.
VBA makrosunun yapısı ve içerdiği yorumlar, büyük olasılıkla bir LLM tarafından oluşturulduğuna işaret etmektedir. Saldırının hedefi, kaybolan kişilere dair bilgi arayan bireylerdir. Bu durum, onların duygusal sıkıntılarından faydalanarak yanlış bir aciliyet hissi yaratmayı amaçlamaktadır.
Etkilenen Sistemler
Bu arka kapı, SloppyMIO olarak adlandırılmıştır ve GitHub’ı bir “dead drop” çözümleyici olarak kullanmaktadır. Aşağıdaki modülleri desteklemektedir:
- cm: “cmd.exe” kullanarak komut çalıştırma
- do: Tehdit altındaki sistemin dosyalarını toplama ve Telegram API dosya boyutu sınırlarına uygun ZIP arşivleri oluşturma
- up: Bir dosyayı “%LOCALAPPDATA%MicrosoftCLR_v4.0_32NativeImages” dizinine yazma
- pr: İstikrar için her iki saatte bir çalıştırılacak bir görev oluşturma
- ra: Bir süreci başlatma
Bununla birlikte, kötü amaçlı yazılım bir komut ve kontrol (C2) sunucusuna bağlanarak belirlenen Telegram sohbet kimliğine durum mesajları gönderir ve komutlar alır:
- download: “do” modülünü çalıştırma
- cmd: “cm” modülünü çalıştırma
- runapp: Bir süreci başlatma
Çözüm ve Korunma
Güvenlik uzmanları, bu tür saldırılara karşı korunmak için aşağıdaki adımları almanızı önermektedir:
- Tüm yazılımlarınızı ve sistemlerinizi güncel tutun.
- Güvenlik duvarı ve hedefli aygıt savunmaları kurarak gereksiz bağlantıları kapatın.
- Şüpheli dosyaları açmaktan ve tanımadığınız kaynaklardan gelen bağlantılara tıklamaktan kaçının.
- Antivirüs çözümlerini kullanarak düzenli taramalar yapın.
Sonuç olarak, bu tür siber tehditler karşısında hazırlıklı olmalıyız. Sistemlerinizi güncelleyerek ve güvenlik önlemlerinizi artırarak korunmak, bu tehditlerin etkilerini minimize etmede kritik bir rol oynamaktadır.
