APT35ハッキンググループ(Charming Kittenとしても知られる)に関連する第4のエピソードの流出は、この組織に対する認識を劇的に塗り替えるものとなった。研究者ナリマン・ガリブが綿密に分析した過去3回の公開では、男女別のハッキングチーム、さらにはオペレーターのおおよその報酬水準に至るまで、グループの内部構造に注目が集まっていた。今回の最新の開示はこの流れを引き継ぎつつ、会計記録、インフラ管理、そしてサイバー作戦を支えるロジスティクスへと焦点を移している。
公開されたファイルは、国家支援の主体がいかにして非公式なハッカー集団を装うかを明らかにしている。エクスプロイトコードの代わりに、アーカイブにはサーバー、認証情報、暗号資産での支払い、VPSのレンタル注文を列挙したExcelスプレッドシートが収められていた。このシステムの中核にあるのは創造性ではなく、帳簿管理である。あらゆる行動はチケット、価格、日付、注文番号によって検証される。全体の装置は内部監査可能性を中心に構築されており、「商品とサービス」がサイバー諜報インフラである点を除けば、通常の政府機関と見分けがつかない。
APT35の自己露呈は、自らの不注意に起因していた。侵害後、オペレーターはサーバー、パスワード、アカウントへのアクセスを失効させることに失敗し、インフラの一部を数週間にわたり稼働したまま放置した。この杜撰さはCharming Kittenに内在する際立った二面性—プロセス面での厳格な規律と、基本的なセキュリティ衛生に対する露骨な軽視—を浮き彫りにしている。
最も示唆的な発見の一つは、Cryptomusプラットフォームを介した支払い活動を詳細に記したスプレッドシートである。そこには、疑似的な欧州口座を通じて架空名義で実行された、€12から€18の範囲に及ぶ数十件の取引が記録されている。各支払いは内部リクエストに対応しており、全体の仕組みは金融監視を回避するよう設計されている。高額送金が存在しないこと、取引が均質であることにより、一般ユーザーによる日常的な購入という外観が作り出されている。
最も重大な示唆は、Charming Kittenと別のイラン系サイバー主体—Moses Staff—との結びつきから浮かび上がる。イデオロギー的な旗印の下で活動する独立したハクティビスト集団と長らく見なされてきたMoses Staffは、第4エピソードのデータによって、APT35と同じ行政的機構によって動かされていることが明らかになった。ドメインおよびアカウントの一覧には moses-staff.io が繰り返し現れ、同一のProtonMailアカウントがCharming Kittenの記録とMoses Staffのインフラの双方にまたがって確認される。
イスラエル企業からのデータ流出、破壊的攻撃、そしてプロパガンダ的マニフェストが、突発的な急進的活動の産物ではなく、日常的なプロジェクトとして管理された綿密に計画された作戦の結果であったことが明確になる。個人、ドメイン、支払い、サーバーは統一された台帳の中で追跡され、あらゆる工程が標準化されたテンプレートで記録されている。一貫した価格帯や、繰り返し利用される欧州のホスティング事業者といった細部でさえ、精密に調整されたサプライチェーンを示している。
これらのファイルはAPT35の内部運用の幕を上げるだけではない。サイバー紛争が、サブスクリプションのようなモデルを軸に構造化されていることを示している。あらゆる侵害、フィッシングページ、C2(コマンド&コントロール)サーバーは、支払い、注文、サービス更新の結果として生み出される。第4エピソードの中心的な暴露として立ち現れるのは、この緻密な「侵入の会計」なのである。
