Punishing Owlと名乗る新たなハッキング集団が、ロシアの国家治安機関のネットワークに侵入したと主張した。
同集団はソーシャルメディア上で証拠を公開し、盗まれた内部文書をホストする改ざんリークサイト(DLS)へのリンクと、Mega.nz上の複製保管場所も提示した。複数形で語ることから、同集団は自らをコレクティブ(集団)として位置づけている。
Punishing Owlはさらに、被害者ドメインのゾーンにおけるDNSアクセスを悪用した。彼らはサブドメインhacked.[REDACTED].ruを作成し、それとルートドメインの両方をブラジルのサーバーへリルートした。
そのサーバーには、盗難ファイルへのリンクと、被害者を糾弾する政治的マニフェストが掲載されていた。
攻撃者は、同日に発行された被害者ドメイン用の偽TLS証明書を追加した。さらに、メールサービスを模倣するためにIMAPおよびSMTPポートも開放した。
この仕組みにより、公式サイトから訪れた閲覧者はDLSへ誘導され、顧客やパートナーに侵害の事実が広まった。金曜18:37という投稿タイミングは、週末対応を遅らせることで露出を最大化した。
数日後、Punishing Owlはビジネスメール詐欺(BEC)メールで被害者のパートナーを標的にした。
第1波はpunishingowl@[REDACTED](ブラジルのサーバー経由)から送信され、侵害を告知し、乗っ取られたDNSへのリンクを含んでいた。
1時間後、第2波では被害者従業員のメールを偽装した。これらは「確認書類」とされるパスワード保護ZIPアーカイブの緊急確認を促した。
ヘッダーは同じブラジルのサーバーに遡り、同集団のメールアドレスpunishingowl@atomicmail[.]ioも明らかになった。
ZIPには、PDFを装ったLNKファイル(拡張子二重化の手口)が隠されていた。これを開くと、C2サーバーbloggoversikten[.]com(82.221.100[.]40)からZipWhisperスティーラーを取得する隠しPowerShellコマンドが実行された。
ZipWhisperはブラウザデータを収集し、AppData/Local/Tempに[USERNAME]-home-part[CHUNK].zipのようなファイルへ圧縮してから、/upload/[COMPUTERNAME]/[USERNAME]経由でアップロードする。あるサンプルのコードには「generated at」タイムスタンプが含まれており、スクリプト作成にAIツールを用いた可能性を示唆している。
このC2ドメインは、2015年まで正規に存在していたロシアの技術ブログを模倣しており、その後は休眠していたが、攻撃目的で2025年に再登録された。
Punishing Owlはロシアの重要インフラのみを攻撃している。国家機関、研究企業、habr のIT企業などだ。
2025年12月12日〜19日にかけて、新しいソーシャルメディア、ダークウェブフォーラムのアカウント、オンラインサービスが次々に出現しており、新規参入者がブランド構築を進めていることを示唆する。
あるソーシャルアカウントはカザフスタンにジオロケートされる。彼らは公開の被害者グラフまで共有した。
今日の緊迫した地政学情勢の中で、PT ESCは、政治的動機に基づくハクティビストがロシアのサイバー空間を標的にする動きがさらに増えると予測している。
Punishing Owlのカスタムツール、長期にわたる潜伏、ダークウェブでのブランディングは、一過性のスタントではない持続力を示している。PT ESCの脅威インテリジェンスチームは、PT Fusionを通じて彼らを追跡する。
警戒を怠らないこと:DNS制御をパッチし、異常なサブドメインを監視し、スティーラーの有無をスキャンせよ。
翻訳元: https://cyberpress.org/punishing-owl-targets-russia/