イラン国内の人々に対してマルウェアを拡散する新たな悪意あるキャンペーンが確認されており、同国で起きた抗議の波の中で最近の人権侵害を記録している非政府組織(NGO)や個人も含め、標的となっている可能性が高い。
このキャンペーンは、フランスのサイバーセキュリティ企業HarfangLabのサイバー脅威リサーチチームによって発見され、2026年1月上旬に初めて観測された。
HarfangLabは1月23日に悪性サンプルを入手し、1月29日にマルウェア分析を公開した。
研究者らはこのキャンペーンをRedKittenと命名した。行方不明者や政治的反体制派に関する情報を求める組織・個人を狙うよう設計された偽の「ショック誘導(shock lures)」を配布する。これらの誘導は、SloppyMIOと名付けられたマルウェア・インプラントへとつながり、データの収集・持ち出し(エクスフィルトレーション)、任意コマンドの実行、さらにスケジュールタスクによる永続化を伴う追加マルウェアの展開が可能だ。
このマルウェアは、設定情報およびモジュール式ペイロードの取得にGitHubとGoogle Driveを利用し、コマンド&コントロールにはTelegramを使用する。
HarfangLabの研究者らは、大規模言語モデル(LLM)支援による開発の痕跡が複数見られることから、AIツールを用いて構築されたと評価した。
研究者らは、この活動を特定の脅威アクターに確実に帰属させることはできなかったものの、言語的な指標とともに、過去にイランの国家支援攻撃者が用いたことが知られる手法の使用を確認した。
また、同活動はイラン政府の安全保障上の利益に沿う脅威アクターに由来するとの確信があると述べた。
反体制派と研究者を狙う偽の法医学ファイル
RedKittenキャンペーンは、パスワード保護された7zアーカイブから始まる。ファイル名はペルシャ語で「テヘラン法医学ファイル」とされ、悪性のExcelスプレッドシートが5つ含まれている。これらのファイルは、2025年12月から2026年1月にかけてテヘランで死亡した200人(抗議参加者とされる)を列挙していると主張しており、この期間はイラン体制に対する不安定化が顕著だった。
Excel文書は公式記録に見えるよう命名されており(例:「Final List_Victims_December 1404_Tehran_Part One.xlsm」)、捏造されたものの衝撃的なデータが5つのタブにわたって含まれている。
あるシートでは被害者の個人情報に加え、イスラム革命防衛隊(IRGC)、バスィージ民兵、情報省など関与した治安機関が併記され、別のシートでは毒物学的結果を含む生々しい検死報告が提示される。3つ目のタブでは遺体の家族への引き渡し状況を追跡し、最後の「Help」シートではマクロを有効化するよう促し、マルウェアを起動させる。
HarfangLabの研究者らによれば、これらの誘導は感情的苦痛につけ込むよう設計されており、活動家、ジャーナリスト、あるいは行方不明の家族を探す人々を標的としている。
しかし研究者らは、年齢と生年月日の不一致、記載された医師にとって非現実的な業務量など、データに矛盾が多く見られ、捏造を示唆していると指摘した。各死亡事案に特定の治安機関を結び付けるなどの詳細さは、衝撃を与えて緊急性を煽る意図があるように見え、研究者らは、これは過去のイランのサイバー作戦と整合する手口だと述べた。
SloppyMIOインプラント:データ窃取、持ち出し、スパイウェア機能
悪性のExcelファイルを開くと、「コンテンツの有効化(Enable Content)」を促す表示が出て、文書に埋め込まれた小さなプログラムである隠しVBAマクロが起動する。このマクロは、より危険なペイロードを密かに抽出する。HarfangLabの研究者らがSloppyMIOと名付けた、C#で書かれたマルウェアだ。
SloppyMIOという名称は、その雑然とした設計を示唆しており、感染のたびにコードがわずかに異なるため、セキュリティツールが検知・遮断しにくくなる。
起動すると、マルウェアは巧妙な手口で検知回避を図る。正規のWindowsプログラム(AppVStreamingUX.exeなど)を隠しフォルダにコピーし、それがシステムの通常の一部であるかのように悪性コードを読み込ませる。動作を継続させるため、PC起動のたびに自分自身を起動するスケジュールタスクを作成する。
また、変数名の不自然さや自動生成のメモのようなコメントなど、少なくとも一部がAIによって生成されたことを示唆する手掛かりもコード中に残されていた。
不審なサーバーへ接続する従来型マルウェアとは異なり、SloppyMIOはTelegramを用いてオペレーターからコマンドを受け取る。
まず、攻撃者が管理するTelegramボットに「ビーコン」メッセージを送信し、感染したコンピューターがオンラインであることを通知する。その後、無害なチャットメッセージに偽装しながら、新たな指示がないか定期的に確認する。
検知をさらに困難にするため、攻撃者はステガノグラフィ(画像の微細で知覚できない部分にデータを隠す手法)を用い、ミームやストックフォトのような一見普通の画像にマルウェア設定を隠す。
インストールされると、SloppyMIOは次のような幅広いスパイ活動・破壊活動を実行できる。
- ファイルの収集および持ち出し(エクスフィルトレーション)
- 被害者のコンピューター上でのコマンド実行
- 追加マルウェアのダウンロード
- 長期アクセスのためのバックドアのインストール
攻撃者はTelegram経由で命令を送り、特定文書の検索、プログラムの実行、さらには他のマシンへの拡散までマルウェアに指示できる。
マルウェアの一部バージョンは、削除された場合に再インストールするスケジュールタスクを作成し、永続性の維持も試みる。
RedKittenの被害者像と帰属
悪性サンプルは、オランダにいるHarfangLabの研究者らによってオンラインのマルチスキャナーにアップロードされた。アップローダーが意図された標的だったのか研究者だったのかは確認できないという。
「最近の人権侵害の記録に関与する非政府組織や個人、そしてイラン体制が抗議者に対して示した凄惨な暴力の水準に関わる人々が、このキャンペーンの意図された標的である可能性があると私たちは考えている」と彼らは記した。
研究者らは現時点でこのキャンペーンを明確に帰属させてはいないが、感染チェーンには、イランのIRGC系脅威アクターであるYellow Liderc(別名Imperial Kitten、TA456)の戦術・技術・手順(TTP)との重なりが見られる。
「特に、このグループは以前から悪性Excel文書を用い、『AppDomain Manager Injection』を介して.NETマルウェアを配布しており、同じ正規WindowsバイナリであるAppVStreamingUX.exeを特にハイジャックしていた」と彼らは述べた。
さらに研究者らは、RedKittenのインフラに見られる複数の手掛かりとして、脅威アクターが過去に観測されたイラン系脅威グループとつながりがあり、ペルシャ語話者であることを示唆すると整理した。例えば、Dead Drop Resolver(DDR)としてのGitHubの利用や、コマンド&コントロール(C2)にTelegramを用いる手法は、2022年以降、別のイラン系脅威クラスターによるキャンペーンでも報告されている。
研究者らはまた、ペイロード内で子猫の画像を「冗談めかして」用いている点にも言及し、攻撃者が、サイバーセキュリティ企業や政府機関がイラン関連ハッキング集団を識別する際に一般的に用いる「Kitten」という命名慣習を、遊び心をもって認めている可能性があると示唆した。
「イラン系アクター同士の区別は、彼らの間で共有される共通点と、攻撃キャンペーンにおけるLLM採用の拡大により、ますます困難になっている。これはCrimson Sandstormのようなグループや、より広範なイランAPTの状況全体で報告されている」と研究者らは結論づけた。
翻訳元: https://www.infosecurity-magazine.com/news/ai-malware-redkitten-iranian/
