Hunt.ioの新たな分析によると、中東のテレコムおよびホスティングインフラがグローバルなサイバー犯罪活動の主要な基盤として台頭しており、わずか3か月の間に1,350以上のアクティブなコマンド&コントロール(C2)サーバーが同地域内で確認されました。
2026年2月1日から5月1日までの活動を対象としたこの調査では、脅威アクターがマルウェアインフラをホストするために、地域の通信ネットワーク、クラウドプラットフォーム、VPSプロバイダーに依存する傾向が強まっていることが明らかになりました。
研究者らは、攻撃者が侵害指標(IOC)を素早くローテーションさせながらも同じ基盤インフラプロバイダーを使い続けているため、従来のIOC主導の検出モデルは効果が薄れていると警告しています。
この分析では、サウジアラビア、UAE、トルコ、イスラエル、イラン、イラクを含む中東14か国にまたがる98のインフラプロバイダー上で、1,357件のC2サーバーが特定されました。
特筆すべきは、C2インフラが観測されたすべての悪意あるアーティファクトの約96.8%を占めており、フィッシングサイトや公開報告済みの侵害指標を大幅に上回っていた点です。
サウジテレコム(STC)だけで981台のC2サーバーをホストしており、データセット内で検出されたC2活動全体の72.4%を占めています。
研究者らはこの集中をSTCのネットワーク規模と大規模な顧客基盤に起因するものと見ており、プロバイダー自体が直接侵害されたのではなく、通信事業者の環境内にある侵害済みエンドポイントが悪用されていると指摘しています。
データセットからは、同地域で活動するコモディティマルウェア、ボットネット、高度なポストエクスプロイテーションフレームワークが混在している状況が明らかになりました。
Tactical RMMはユニークなC2 IPが92件と全マルウェアファミリー中最多であり、正規のリモート管理ツールの広範な悪用が反映されています。
その他の主要なファミリーには、Keitaro(トラフィック配布システム)、Acunetix、Gophish、そしてMozi、Hajime、MiraiといったIoTボットネットが含まれていました。
Cobalt Strike、Sliver、AsyncRATといった高度な攻撃フレームワークも確認されており、サイバー犯罪組織と国家関連組織の活動が重複している可能性を示しています。
実際のキャンペーンのいくつかは、このインフラが積極的に活用されている状況を示しています。
Hunt.ioによると、この調査ではさらに、DYNOWIPERへの攻撃に関連するインフラやClickFixのソーシャルエンジニアリングチェーンを含む、進行中のMaaS(Malware-as-a-Service)活動、フィッシングキャンペーン、破壊的なマルウェア活動も確認されました。
個別のキャンペーンにとどまらず、このレポートでは防御戦略における重大な転換点として、個々の侵害指標ではなくインフラプロバイダー自体を追跡することの重要性が強調されています。
IPアドレスやドメインは急速に変化する一方で、攻撃者は同じホスティング環境、通信ネットワーク、ASNレベルのリソースへ繰り返し回帰するパターンを示しています。
翻訳元: https://cyberpress.org/telecom-networks-exploited/