イラン系のサイバー脅威アクターが、AIツールを使用してイラク外務省になりすまし、イラクの政府高官を標的にしている。
イラク内の政府関連インフラが侵害され、このキャンペーンの一部として配布される悪意あるペイロードをホストするために使用された。
このキャンペーンは2026年1月にZscaler ThreatLabzによって検出され、脅威アクターをDust Specterとして追跡しており、「中程度から高い信頼度で」イランに帰属させている。
ThreatLabzは、このキャンペーンで以前未文書化のマルウェアの使用を発見し、Split Drop、TwinTask、TwinTalk、GhostFormが含まれる。
研究者らはまた、Dust Specterが生成AIをマルウェア開発に活用していることを示すコードベース内のいくつかのフィンガープリントを観察した。
Dust Specterの2026年1月攻撃キャンペーンの説明
悪意あるキャンペーンは2つの異なる攻撃チェーンに従って展開されている。
最初の攻撃チェーンは、mofa-Network-code.rarという名前のパスワード保護されたRARアーカイブの配信を含む。このアーカイブ内に存在する32ビットの.NETバイナリはWinRARアプリケーションに偽装され、エンドポイント上の攻撃チェーンを開始する。ThreatLabzはこのバイナリをSplitDropと呼んだ。
このバイナリはTwinTaskとTwinTalkの2つの悪意あるダイナミックリンクライブラリ(DLL)ファイルのドロッパーとして機能する。
TwinTaskの主な目的は、実行可能な新しいコマンドのファイルをポーリングし、PowerShellを使用してそれらを実行して、ターゲット環境での永続性を確保することである。
TwinTalkはコマンド・アンド・コントロール(C2)オーケストレーターとして機能し、その主な目的はC2サーバから新しいコマンドをポーリングし、ワーカーモジュールと調整し、コマンド実行の結果を流出させることである。
TwinTaskとTwinTalkは、コード実行に使用されるファイルベースのポーリングメカニズムを実装するために並行して動作する。
3月2日に発表された、このキャンペーンについてのレポートで、ThreatLabzの研究者らはTwinTalk C2ドメインが2025年7月にDust Specterによってシスコウェブエックス会議招待を装ったウェブページをホストするために使用されたと述べた。
ウェブページは正規のシスコウェブエックスソフトウェアをダウンロードするためのリンクを含み、被害者に「ウェブエックス・フォー・ガバメント」オプションを選択するよう促し、被害者に会議IDを取得するための指示に従うよう誘導した。
これらの指示は、脅威アクターがソーシャルエンジニアリングを実装するために採用する典型的な方法であり、ClickFixスタイルの攻撃を実装する。
2番目の攻撃チェーンは、最初の攻撃チェーンのすべての機能を単一のバイナリに統合している。
ソーシャルエンジニアリングルアーとしてGoogle Formsを使用し、メモリ内PowerShellスクリプト実行を使用してC2サーバから受信したコマンドを実行し、ファイルシステムのフットプリントを削減する。
最初の攻撃チェーンとは異なり、脅威アクターはこの場合DLLサイドローディングを伴う分割アーキテクチャを使用しない。代わりに、ThreatLabzによってGhostFormと呼ばれる.NETベースのリモートアクセストロイの木馬(RAT)を使用し、最初の攻撃チェーンのすべての機能を1つのバイナリに統合し、メモリ内PowerShellスクリプト実行を使用する。
ThreatLabzは、TwinTalkとGhostFormをデコンパイルするときに、コードベース内での絵文字とユニコードテキストの使用を特定した。
「このユニークなコーディングスタイルは、マルウェア開発中に生成AIツールが使用された可能性が高く、他のキャンペーンで文書化されたトレンドである」と彼らは書いた。
翻訳元: https://www.infosecurity-magazine.com/news/iran-cyber-threat-actor-iraq/
