ロシアの軍人のスマートフォン、コンピューター、Telegramアカウントへの侵害を試みる、これまで記録されていなかったサイバースパイグループが発見されました。このグループは恋愛関係を求める女性を装って標的に近づいていたことが、研究者らの調査で明らかになりました。
ロシアのサイバーセキュリティ企業F6によって「SiribClone」と名付けられたこのグループは、少なくとも2025年夏から活動しており、国境地帯や戦闘地域に駐留するロシア軍の兵士を主な標的としています。
研究者らが先週公開したレポートによると、この作戦は前線に展開するロシア兵からファイルを窃取し、通信を監視し、機密性の高い軍事情報を収集することで戦場の情報を集めることを目的としているとみられています。
攻撃者はTelegramやその他のメッセージングプラットフォームで兵士に接触する際、恋愛関係を求める女性や人道支援を申し出るボランティアを装い、会話を開始しました。その後、悪意のあるアプリケーションをダウンロードさせたり、偽装されたウェブサイトでTelegramの認証情報を入力させたりするよう誘導しました。
被害者はさまざまな口実のもとで悪意のあるリンクをクリックするよう仕向けられました。攻撃者が新しいアプリケーションを開発したと称してテストを依頼したケースや、安全な写真共有アプリに見せかけたアプリを通じてプライベートな写真を交換しようと持ちかけたケースもありました。
実際にインストールされるのは「SafeLoveStealer」と名付けられた未知のAndroidスパイウェアです。レポートによると、このマルウェアは感染端末から写真、動画、ドキュメント、位置情報などのデータを窃取するほか、標的のマイクをリモートで起動して会話を録音することも可能です。
このグループはフィッシングサイトも運営しており、Telegramのログインページ、Telegramコミュニティへの招待、医療検査ポータルなどに偽装しています。被害者は電話番号、Telegramの認証コード、二要素認証パスワードを入力するよう誘導され、攻撃者にアカウントを乗っ取られて通信を傍受される仕組みです。
モバイル向けスパイウェアに加え、このグループはデスクトップコンピューター向けの未知のマルウェアも展開しています。「SiribGrabber」と名付けられたこのマルウェアの主な目的は、感染したシステムからファイルを窃取することです。
今年1月から2月にかけて検出されたこの作戦では、攻撃者は軍事関連文書に見せかけたZIPアーカイブを被害者に送りつけました。その後、数か月間活動が確認されなかったものの、5月に入ってグループは再び姿を現し、ロシアの戦勝記念日(Victory Day)をテーマにしたウェブサイトを通じて新たなマルウェアを配布しました。
研究者らは、ハッカーが使用する「Kontur」と名付けられた内部管理プラットフォームも発見しました。このプラットフォームは窃取したTelegramセッションを保存し、オペレーターが傍受したメッセージを閲覧できる機能を持っています。プラットフォーム内の内部メモには軍の階級、部隊の呼称、所在地、作戦状況などが記載されており、この作戦が主に軍事スパイ活動を目的としていることが示唆されています。
F6によると、SiribCloneの作戦は2つの目的に絞られています。1つは感染端末から技術的・地理的・個人的データを収集すること、もう1つは被害者のTelegramアカウントへの永続的なアクセスを確立して通信を傍受することです。
研究者らは今回の作戦について、特定の国や既知の脅威アクターへの帰属はしていません。
翻訳元: https://therecord.media/hackers-pose-as-women-seeking-romance-russian-military
