RedKitten: Iran-nahe Cyberkampagne missbraucht Menschenrechtsdaten : Staatlich gelenkte Angreifer zielen mit KI-gestützter Malware auf NGOs und Aktivisten

Im Januar 2026 beobachtete HarfangLab erstmals eine neue Kampagne, der das französische Sicherheitsunternehmen den Namen RedKitten gab. Im Fokus stehen Organisationen und Einzelpersonen, die Menschenrechtsverletzungen im Iran dokumentieren. Der Zeitpunkt ist kein Zufall: Die Angriffe begannen während landesweiter Proteste, die Ende 2025 durch hohe Inflation, steigende Lebensmittelpreise und den Wertverfall der Währung ausgelöst wurden. Die Sicherheitskräfte reagierten mit massiver Gewalt, die zu zahlreichen Todesopfern führte. Auch das Internet wurde weitestgehend abgeschaltet.

Emotionale Köder als Einfallstor

Die Angriffe beginnen mit einem komprimierten 7-Zip-Archiv, das einen persischen Dateinamen trägt. Darin befinden sich Microsoft-Excel-Dateien mit aktivierten Makros. Die Tabellen behaupten, Informationen über Demonstranten zu enthalten, die zwischen dem 22. Dezember 2025 und dem 20. Januar 2026 in Teheran getötet worden sein sollen.

Bei genauerer Prüfung zeigen sich jedoch deutliche Unstimmigkeiten, etwa bei Altersangaben und Geburtsdaten. Das ist ein klares Indiz, dass die Inhalte vollständig erfunden sind.

Die Angreifer zielen damit ganz bewusst auf Menschen ab, die nach vermissten Angehörigen oder Bekannten suchen. Die emotionale Ausnahmesituation dieser Personen wird ausgenutzt, um Druck aufzubauen und sie dazu zu bringen, die schädlichen Dateien zu öffnen.

Makros, Injection und KI-Spuren

Wird das Makro aktiviert, fungiert es als Dropper für ein in C Sharp entwickeltes Implantat mit der Bezeichnung AppVStreamingUX_Multi_User.dll. Die Einbindung erfolgt über AppDomainManager-Injection, eine Technik, die legitime .NET-Mechanismen missbraucht.

Auffällig ist der Aufbau des Makrocodes. Laut HarfangLab deuten Stil, Variablennamen und Kommentare auf eine automatisierte Erstellung hin. Ein Beispiel ist der Kommentar „PART 5: Report the result and schedule if successful“. Die Vermutung liegt nahe, dass große Sprachmodelle zur Codegenerierung eingesetzt wurden, was die Einstiegshürde für komplexe Angriffe deutlich senkt.

SloppyMIO und modulare Kontrolle

Das Implantat selbst trägt den Namen SloppyMIO und nutzt eine mehrstufige Infrastruktur:

• GitHub dient als sogenannter Dead-Drop-Resolver
• Von dort werden Verweise auf Google Drive geladen
• In dort abgelegten Bildern ist die Konfiguration steganographisch verborgen
• Die eigentliche Steuerung erfolgt über die Telegram-Bot-Programmierschnittstelle

Die Konfiguration enthält unter anderem Bot-Token, Chat-Kennungen und Modulverweise. Unterstützt werden mehrere Module, darunter:

• cm zur Ausführung von Befehlen über cmd.exe
• do zur Dateisammlung und Archivierung
• up zum Ablegen von Dateien im lokalen Anwendungsdatenverzeichnis
• pr zur Persistenz über geplante Aufgaben im Zwei-Stunden-Takt
• ra zum Starten von Prozessen

Zusätzlich existieren Steuerbefehle wie download, cmd und runapp, welche die Module gezielt aktivieren. „Die Malware kann mehrere Module aus externem Speicher abrufen, beliebige Befehle ausführen, Dateien exfiltrieren und weitere Schadsoftware mit Persistenz nachladen“, so HarfangLab.

Attribution und bekannte Muster

Die Zuordnung zu iranischen Akteuren basiert auf mehreren Faktoren: persische Artefakte, thematische Köder sowie taktische Parallelen zu früheren Kampagnen, etwa von Tortoiseshell. Auch dort wurden manipulierte Excel-Dokumente genutzt, um Schadsoftware mittels AppDomainManager-Injection auszuliefern.

Der Einsatz von GitHub als Infrastruktur ist ebenfalls bekannt. Bereits 2022 dokumentierte Secureworks eine Kampagne der Gruppe Nemesis Kitten, bei der GitHub zur Verteilung des Backdoors Drokbk genutzt wurde.

Herausforderung für die Verteidigung

Nach Einschätzung von HarfangLab erschwert der Einsatz weit verbreiteter Plattformen wie GitHub, Google Drive und Telegram die klassische Verfolgung der Angreifer erheblich. Solche Dienste werden von Millionen Menschen legitim genutzt und lassen sich daher nicht ohne Weiteres blockieren oder eindeutig einer Kampagne zuordnen.

Gleichzeitig bringt diese Strategie für die Angreifer aber auch Nachteile mit sich. Die genutzten Plattformen hinterlassen Metadaten, etwa zu Zugriffen, Zeitpunkten oder Kontoverknüpfungen, die Sicherheitsforscher auswerten können. Dadurch entstehen neue Ansatzpunkte für Analysen, während die Angreifer zusätzliche Maßnahmen ergreifen müssen, um ihre eigene operative Sicherheit aufrechtzuerhalten. HarfangLab bringt es auf den Punkt: „Die Nutzung kommerzieller Plattformen behindert zwar klassisches Tracking, legt aber paradoxerweise operative Schwächen der Angreifer offen.“

Phishing über WhatsApp: QR-Code-Falle führt zur kompletten Kontoübernahme

Die aktuellen Entwicklungen wurden nur wenige Wochen bekannt, nachdem der im Vereinigten Königreich lebende iranische Aktivist und unabhängige Cyberermittler Nariman Gharib eine neue Phishing-Methode öffentlich gemacht hatte. Dabei handelt es sich um einen über WhatsApp verbreiteten Link mit der Adresse „whatsapp-meeting.duckdns[.]org“. Dieser führt die Betroffenen auf eine gefälschte Anmeldeseite von WhatsApp Web, die gezielt dazu dient, Zugangsdaten abzugreifen.

Laut Nariman Gharib steht die Seite in ständigem Kontakt mit dem Server der Angreifer und ruft diesen im Sekundentakt auf. Auf diese Weise wird den Opfern ein QR-Code angezeigt, der direkt aus einer aktiven WhatsApp-Web-Sitzung der Angreifer stammt. Wer den Code mit dem Smartphone scannt, glaubt, an einer Besprechung teilzunehmen, meldet in Wirklichkeit jedoch den Browser der Angreifer beim eigenen WhatsApp-Konto an. Dadurch erhalten die Angreifer vollständigen Zugriff auf alle Chats und Kontakte.

Zusätzlich fordert die Phishing-Seite Zugriffsrechte auf Kamera, Mikrofon und Standort des Geräts an. Wird dies erlaubt, kann die Seite Fotos aufnehmen, Gespräche abhören und den Aufenthaltsort der Betroffenen erfassen. Damit wird aus der Phishing-Seite ein einfaches, aber wirkungsvolles Überwachungswerkzeug. Wer hinter der Kampagne steckt und welches Ziel genau verfolgt wird, ist bislang nicht bekannt.

Weitere Hintergründe deckte Zack Whittaker von TechCrunch auf. Demnach beschränkt sich die Kampagne nicht auf WhatsApp. In einigen Fällen wird den Opfern auch eine gefälschte Gmail-Anmeldeseite präsentiert, über die sowohl das Passwort als auch der Code der Zwei-Faktor-Authentifizierung abgegriffen werden. Nach aktuellem Stand sind rund 50 Personen betroffen. Dazu gehören nicht nur Mitglieder der kurdischen Community, sondern auch Wissenschaftler, Regierungsmitarbeiter, Führungskräfte aus der Wirtschaft sowie weitere einflussreiche Persönlichkeiten.

Datenleck legt Strukturen iranischer Cyberoperationen offen

Die neuen Erkenntnisse stehen auch im Zusammenhang mit einem umfangreichen Datenleck, das die iranische Hackergruppe Charming Kitten getroffen hat. Die veröffentlichten Informationen geben tiefe Einblicke in die internen Abläufe der Gruppe, ihre Organisationsstruktur sowie die maßgeblichen Akteure im Hintergrund.

Zudem wurden Details zu einer Überwachungsplattform mit dem Namen Kashef bekannt, die auch unter den Bezeichnungen Discoverer oder Revealer geführt wird. Das System dient der systematischen Überwachung iranischer Staatsbürger und ausländischer Personen. Dafür werden Daten aus mehreren Stellen zusammengeführt, die den Islamischen Revolutionsgarden zugeordnet sind.

Ravin Academy als Schnittstelle zwischen Ausbildung und Geheimdienst

Im Oktober 2025 machte Nariman Gharib außerdem eine Datenbank öffentlich, die 1051 Personen erfasste, welche an Schulungsprogrammen der Ravin Academy teilgenommen hatten. Die Ravin Academy ist eine Cybersicherheitsschule, die 2019 von Seyed Mojtaba Mostafavi und Farzin Karimi gegründet wurde. Beide Gründer stehen in direkter Verbindung zum iranischen Ministerium für Nachrichtendienste und Sicherheit (MOIS). Aufgrund dieser Verbindungen wurde die Einrichtung bereits im Oktober 2022 vom Finanzministerium der USA sanktioniert.

Nach vorliegenden Informationen bot die Akademie Schulungen in zahlreichen sicherheitsrelevanten Disziplinen an, darunter Informationssicherheit, Bedrohungsanalyse, digitale Forensik, Malware-Analyse, Netzwerkschutz, Incident Response, Schwachstellenanalyse, Penetrationstests und Reverse Engineering.

Am 22. Oktober 2025 bestätigte die Ravin Academy den Sicherheitsvorfall in einem Beitrag auf ihrem Telegram-Kanal. Demnach war ein extern betriebenes Online-System Ziel eines Cyberangriffs. Dabei seien Benutzernamen und Telefonnummern eines Teils der Kursteilnehmer offengelegt worden. Zugleich erklärte die Organisation, der Angriff habe darauf abgezielt, ihren Ruf zu beschädigen, und ein erheblicher Teil der veröffentlichten Daten sei fehlerhaft oder ungültig.

Nach Einschätzung von Nariman Gharib ermöglicht dieses Modell dem MOIS, die erste Rekrutierung und Überprüfung potenzieller Cyberakteure auszulagern. Die operative Kontrolle bleibe jedoch durch die enge Verbindung der Gründer zum Geheimdienst erhalten. Auf diese Weise könne gezielt Fachpersonal für Cyberoperationen aufgebaut werden, ohne dass eine direkte staatliche Beziehung unmittelbar erkennbar sei.

Fazit

RedKitten zeigt eindrücklich, wie staatlich ausgerichtete Bedrohungsakteure emotionale Manipulation, künstliche Intelligenz und legitime Cloud-Dienste zu einer hochwirksamen Angriffsstrategie verbinden. Für Nichtregierungsorganisationen und Aktivisten wird operative Sicherheit damit nicht nur zur technischen, sondern auch zur psychologischen Herausforderung.