2026年2月28日、アメリカとイスラエルはイランに対して調整された軍事作戦を開始しました。アメリカはこれを「エピック・フューリー作戦」、イスラエルは「吠える獅子作戦」と命名し、サイバー作戦が運動力のある攻撃と密接に結合された新しい段階を開きました。
その後の数時間で、イランは多面的な報復キャンペーンを開始し、中東を超えた範囲に及ぶ越域的なサイバー対立へと急速に拡大しました。
2月28日の朝から始まり、イランの全国的なインターネット接続は通常の約1~4%に低下し、観察者が「ほぼ完全なブラックアウト」と表現する状態に陥りました。
この混乱は進行中の攻撃と連動し、イランの指導部通信と指令統制構造を著しく低下させ、イラン国内で活動する国家系のAPTが短期的に複雑なキャンペーンを調整・実行する能力を制限しています。
Unit 42は、一部の国家系サイバーユニットが現在孤立した状態で運用されており、集中化されたタスク指定と衝突回避を失うにつれ、歴史的なTTPから逸脱する可能性があると評価しています。
イラン外を拠点とするセルと代理組織は戦術的自律性を獲得する可能性がありますが、これらの体系的な混乱による高度で長期間の作戦を維持する能力は低下する可能性が高いです。
ハクティビストが真空を埋める
国内インフラが制約される中、イラン系の脅威活動はますます地理的に分散したハクティビストとサイバー代理組織によって駆動されており、敵対的と認識される政府と組織を標的としています。
これらのキャンペーンの多くは、DDoS、ウェブサイト改ざん、ハック・アンド・リーク活動、投機的なデータ盗難など、低~中程度の技術レベルの作戦に焦点を当てており、米国の軍事基地と地域物流ハブをホストしている国を含みます。
Unit 42はまた、イスラエルの前線司令部RedAlertアンドロイドアプリケーションの悪意あるレプリカを悪用し、モバイル監視とデータ流出マルウェアを配信するための外観そっくりのAPKを武器化する、アクティブなフィッシングキャンペーンも観察しました。
このキャンペーンは、紛争中に脅威行為者が公開情報と警告チャネルをいかに迅速に悪用しているかを強調しています。
2026年3月2日の時点で、推定60のハクティビストグループが活動中であり、親イラン、親パレスチナ、親ロシア連合を含みます。
主なイラン系の人物と傘下組織には、Handala Hack、APT Iran、Cyber Islamic Resistance、Dark Storm Team、FAD Team、Evil Markhors、Sylhet Gang、313 Team、DieNetが含まれており、それぞれがイスラエルおよび隣接国のエネルギー、金融、航空、メディア、政府目標全体での破壊的作戦を主張しています。
一部の活動は純粋なサイバー混乱を超えて個人に対する直接的な脅威へと拡大しており、Handala Hackが報告によれば死の脅迫とイランの批判者と認識される者へのドキシングを発行し、ハイブリッド心理物理的脅迫へのシフトを示しています。
同時に、経済的動機を持つ行為者は混乱を悪用しており、UAEでのビッシング詐欺やTarnished Scorpius(INC Ransomware)などのランサムウェア・アズ・ア・サービスオペレータが漏洩サイトに新しいイスラエルの産業被害者をリストしています。
国家レベルの見通し
Unit 42はイランの国家スポンサーシップを受けた行為者を総称してSerpensと追跡し、接続が安定し指令構造が回復するにつれて活動がエスカレートする可能性があると評価しています。
キャンペーンはスパイ活動、破壊的作戦、AI支援のスピアフィッシング、既知の脆弱性の悪用を組み合わせており、しばしば秘密インフラと供給チェーンパスウェイを活用して高価値の政治、防衛、重要インフラ目標に到達しています。
流動的な脅威の情勢を踏まえると、組織はマルチレイヤーの防御モデルの採用を勧告されており、パッチハイジーン、フィッシング耐性、DDoS対応準備、IDセキュリティ、エンドポイント、ネットワーク、クラウド全体の継続的な監視を強調しています。
Palo Alto Networksは、Advanced Threat Prevention、Advanced URL Filtering、Advanced DNS Security、Cortex XDR/XSIAM、Unit 42インシデント対応との関与などの制御が、この進化する紛争に関連する活動の検出、防止、調査を支援できることに注目しています。
翻訳元: https://gbhackers.com/epic-fury-cyber-shock/
