デジタル犯罪組織の概要
デジタルアンダーグラウンドに、新たな脅威アクターが姿を現しています。この集団が注目される理由の一つは、危険なサイバー兵器を一般的な企業向けソフトウェアのように商業化している点です。グループは「Infrastructure Destruction Squad」という名称で活動しており、表向きはイデオロギー的・政治的な主張を掲げてキャンペーンを展開しています。しかしその実態は異なります。ネットワークへの侵害で多大な収益を上げており、アクセスキーの販売や高度なランサムウェアペイロードの配布も積極的に行っています。
活動の経緯と戦略的方向性
KELAの包括的な脅威インテリジェンスによれば、このグループは2025年6月からTelegramを活用しており、悪意ある活動は2026年5月まで活発に続いています。集団は独立したハクティビスト連合を自称しており、英語、ロシア語、中国語でメッセージを発信しています。公式声明では、親中国・反米・反イスラエル・親パレスチナ・反インドといった主張が頻繁に見られます。しかし実際の活動は、単なる政治的抗議にとどまりません。
組織の系譜とBlacknetバリアント
2025年9月、Infrastructure Destruction SquadはDark Engineシンジケートとの正式な連携を明確に否定しました。グループの代表者によれば、以前はその関係者がTelegramチャンネルを管理していたに過ぎないとのことです。現在のチームは独立した組織として活動しています。また、このシンジケートは高度に分散した構造を持つと主張しており、メンバーは主に中国、ロシア、ベラルーシ、米国など複数の国に散らばっています。
グループの主力プロジェクトは、「BLACKNET-00」と呼ばれる武器化されたランサムウェア株です。2026年2月、この連合はBLACKNET-00が純粋に金銭的利益を目的としたものだと主張しました。一方、コアチームはあくまで地政学的な目標を追求しているとされていました。しかしその後、PWN Forumsの工作員がこれらのアイデンティティを明確に統合させています。Infrastructure Destruction SquadがBLACKNET-00フランチャイズを直接指揮していることを、彼らは公然と認めています。
自動化ランサムウェアの仕組み
このシンジケートはBLACKNET-00を、初心者の脅威アクター向け自動構築キットとして販売しています。具体的には、グラフィカルユーザーインターフェイスを備えたフレームワークを提供しており、ワンクリックで機能的な暗号化ペイロードをコンパイルすることが可能です。暗号化プロトコルの設定や、Windows Defenderなどのネイティブセキュリティ機能の無効化もシームレスに行えます。さらに、ランサム要求の自動生成と対応する支払い用QRコードの作成機能も備えています。特筆すべきは、ローカルの認証情報、暗号資産データ、デスクトップのスクリーンキャプチャ、ウェブカメラ映像まで収集できる点です。
こうした状況の結果、このビルダーの購入価格は2,000ドルからわずか300ドルへと急落しました。従来のRaaS(Ransomware-as-a-Service)モデルとは異なり、BLACKNET-00の作者はソースコードを含む一括購入モデルで販売しています。この変化はサイバー兵器市場における激しい競争を示すものであり、高度なツールがいかに迅速に下位の攻撃者の手に渡るかを端的に物語っています。
確認された情報窃取と産業用ツール群
2026年4月、KELAはBLACKNET-00オペレーターが主張する2つの主要標的を検知しました。米国連邦航空局(FAA)と、エジプトのZaidus Real Estate Investment社です。後者への侵害では、エジプトおよびサウジアラビアでの業務に関わる機密人事記録20ギガバイトが窃取されたとされています。攻撃者はその後、20,000ドルの身代金を要求しました。
現時点では、開発者は専用のデータリークポータルを設けていません。代わりに、TelegramおよびPWN Forumsを通じて侵害の成果を公開しています。KELAのスペシャリストは、事業規模が拡大するにつれて正式なリークプラットフォームが登場すると見ています。また、グループは「EXTERMINATOR」という名称のサブツールも宣伝しており、企業ネットワークと一般消費者の両方を標的とした2つのバリアントを販売しています。消費者を狙うという姿勢は異例であり、ほとんどのシンジケートが高額な企業を標的とするのとは対照的です。
悪意あるツール群の拡大
このシンジケートの技術的ツール群は、標準的なランサムウェアの枠をはるかに超えています。例えば、2025年8月には「VoltRuptor」を25,000ドルで宣伝しており、産業用制御ネットワーク向けの高度な脆弱性スキャナーとして位置づけています。続いて2026年2月には「TRK25 Advanced SCADA」を500ドルで発表しました。このアプリケーションは産業用エンドポイントをスキャンし、重要な監視制御システムの欠陥を発見するものです。さらに2026年5月には、Microsoft IISアーキテクチャを標的とした「BLAIIS-820」を400ドルで公開しています。
加えて、Infrastructure Destruction Squadは「BankGhost Builder」を300ドルで商業化しています。マーケティング資料によれば、このツールは世界700以上の金融機関を標的としており、不正なランディングページや多要素認証の回避機能をサポートしています。さらに、クリップボードデータの操作、大量メッセージングキャンペーンの調整、ローカルのキーストローク記録、多様なファイル形式の収集といった機能も備えています。
イデオロギーと恐喝の融合
Infrastructure Destruction Squadの動向は、ハクティビズムと純粋なサイバー犯罪の境界が曖昧になっている現状を如実に示しています。イデオロギー的な主張によって、集団は認知度の高いブランドアイデンティティを構築しています。一方、安価なマルウェア構築キットの登場により、訓練を受けていない個人でも深刻なインフラ攻撃を実行できるようになっています。KELAは、こうしたハイブリッド型シンジケートが2026年を通じてさらに増加すると予測しています。
翻訳元: https://meterpreter.org/blacknet-00-ransomware-analysis/
