RedKitten: Iranische Hacker nutzen KI für Spionageangriffe

Eine neue, Farsi-sprechende Hackergruppe setzt Künstliche Intelligenz ein, um Menschenrechtsorganisationen gezielt auszuspionieren. Die als RedKitten identifizierten Angreifer nutzen die emotionale Aufbruchstimmung nach den jüngsten Protesten im Iran für ihre Attacken.

Die Kampagne zielt gezielt auf Nichtregierungsorganisationen, Aktivisten und Akademiker ab, die Menschenrechtsverletzungen im Iran dokumentieren. Als Köder dienen gefälschte Excel-Dateien mit angeblichen Opferlisten der Proteste – ein perfider Trick, der auf die Betroffenheit der Empfänger abzielt.

KI-generierter Schadcode beschleunigt Attacken

Der Angriff beginnt mit emotional aufgeladenen Köderdateien. Per E-Mail oder WhatsApp werden passwortgeschützte Archive mit Namen wie „Tehran Forensic Medical Files“ verteilt. Enthalten sind Excel-Tabellen mit angeblich offiziellen Listen getöteter Demonstranten – komplett mit erfundenen Autopsieberichten.

Passend zum Thema Phishing: Viele Angriffe nutzen emotional getriggerte Dateien wie vermeintliche Opferlisten in Excel, die Makros aktivieren müssen. Das kostenlose Anti-Phishing-Paket zeigt in einer 4‑Schritte‑Anleitung, wie Sie solche Köder erkennen, Mitarbeiter richtig schulen und technische Schutzmaßnahmen implementieren – inklusive konkreter Checklisten und Fallbeispiele zu manipulierten VBA‑Makros. Schützen Sie Ihre Organisation effektiv vor gezielter Spionage. Anti-Phishing-Paket jetzt herunterladen

Was diese Attacke besonders macht: Der darin enthaltene Schadcode zeigt deutliche Anzeichen KI-generierter Programmierung. Variablemamen und Kommentare im VBA-Code legen nahe, dass Large Language Models bei der Entwicklung halfen. Dieser KI-beschleunigte Ansatz ermöglicht es den Angreifern, ihre Tools schneller zu entwickeln und anzupassen.

SloppyMIO: Vielseitiges Spionagewerkzeug

Die Malware mit dem Namen SloppyMIO ist ein ausgeklügeltes Spionagewerkzeug. Nach der Infiltration nutzt sie legale Dienste wie GitHub und Google Drive für ihre Kommandozentrale. Die eigentliche Kommunikation läuft über Telegram – eine bei iranischen Hackergruppen beliebte Taktik.

Einmal installiert, kann SloppyMIO sensible Dokumente und Zugangsdaten stehlen. In einigen Fällen versucht die Malware sogar, Kamera- und Mikrofonzugriff zu erlangen. Damit verwandelt sie infizierte Computer in vollwertige Überwachungsgeräte. Bisher sind mindestens 50 direkte Opfer bekannt.

Iranische Hintergründe und Sicherheitsempfehlungen

Sicherheitsanalysten sehen klare Verbindungen zu bekannten, iranischen staatlichen Hackergruppen. Die verwendeten Techniken ähneln stark denen von Yellow Liderc, einer mit den Revolutionsgarden (IRGC) verbundenen Einheit.

Für potenzielle Zielorganisationen bedeutet dieser Fall eine klare Warnung. Herkömmliche, signaturbasierte Sicherheitslösungen stoßen bei KI-generiertem, polymorphic Code an ihre Grenzen. Experten raten zu verhaltensbasierten Detektionsmethoden und verstärkter Aufklärung über emotionale Phishing-Köder.

Die wichtigste Verteidigung bleibt Wachsamkeit: Unerwünschte Dokumente, besonders solche die Makros aktivieren müssen, sollten stets kritisch hinterfragt werden.

PS: Organisationen, die mit sensiblen Menschenrechtsdokumenten arbeiten, sind besonders gefährdet für gezielte Phishing-Angriffe. Dieses Anti-Phishing-Paket liefert praxisnahe Schulungsfolien, Vorlagen für Awareness-Kampagnen und konkrete Abwehrmaßnahmen gegen E‑Mail-, WhatsApp‑ und Telegram‑Köder – plus Hinweise, wie Sie KI‑gestützte Schadsoftware und manipulierte Excel‑Dateien erkennen. Ideal für NGOs, Journalistinnen und IT‑Verantwortliche. Jetzt Anti-Phishing-Guide sichern*