サイバー空間は長い間、中東紛争における傍観的な戦争の舞台として機能してきた。イランを取り巻く最新の緊迫情勢の中で、Check Point Researchの先鋒は、デジタル空間を操るイランの無数のシンジケートと彼らが採用する高度な方法論を明らかにしてきた。
同社の情報によると、複雑なハッカー集団のエコシステムが国家機構を中心に形成されている。イスラム革命防衛隊(IRGC)と情報保安省(MOIS)の庇護下で活動する派閥がある一方で、「ハクティビズム」の仮面をかぶって行動する者もいる。彼らのキャンペーンは秘密諜報、重要インフラへの運動的攻撃、データの完全抹消、心理的情報作戦を含む。すなわち、盗まれた資料の公開発表と大量のプロパガンダ伝令の配布と同時に、デジタル侵害が組織される。
これらの行為者の中で有名なのは、Cotton Sandstormとして知られるシンジケートで、Emennet PasargadおよびMarnanBridgeの異名でも認識される。彼らの陰謀はIRGCと不可分に結びついている。この集団は積極的な影響作戦の組織化で有名で、地域の地政学的変動に対応する警戒すべき敏捷性を示している。Cotton Sandstormの兵器庫は強大で、デジタルドメインの改ざん、麻痺的なDDoS爆撃、メールとユーザー認証情報の奪取、系統的なデータ流出、その後の漏洩の兵器化を含む。これらの違法な戦利品は、その後、捏造されたペルソナと複雑な仮装を通じて拡散される。
近年、彼らの作戦域はイスラエルの国境を超えた。アナリストたちは、シンジケートがアメリカのIPTV配信サービスを危険にさらし、悪意を持ってプラットフォームを乗っ取り、ガザ紛争に関するAI生成の通信をアラブ首長国連邦の無防備な視聴者に放送した大胆なエピソードを強調している。さらに、この集団はバーレーンの国家インフラを絶え間なく包囲し、これらのデジタル攻撃を熱烈な反王制宣伝で増強してきた。
最近の攻撃において、Cotton SandstormはWezRatマルウェアを兵器化した。この陰険な伝染は、フィッシングメールを通じて蔓延し、緊急のソフトウェア修正を装っている。WezRatはユーザー認証情報を掠奪し、補足的な兵器の秘密配置を容易にする。特定の例では、侵害に成功した後、これらの悪漢がイスラエルの機関に対してWhiteLockランサムウェアを解放した。現在の緊迫の発生からわずか1日後、シンジケートは「Altoufan Team」の休止中のデジタルペルソナを復活させ、バーレーンの目標への差し迫った攻撃の宣言を放送するために、この復活させた名前を利用した。
アナリストによって識別されたもう一つの強力な飛び地はEducated Manticoreである。この集団はIRGCの情報機構と深く絡み合っており、その活動はAPT35およびAPT42の陰謀と頻繁に交差している。これは日常的にCharming Kittenとして知られている。
彼らの主要な戦術は、個人的な信頼の醸成に綿密に基づいている。敵対者は知人や同僚になりすまし、注意深くジャーナリスト、学者、分析家、およびその他の著名な公的人物との対話を開始する。彼らの照準は、機密の内部通信、分類文書、および高価値の連絡先へのアクセスを持つ個人に固定されている。ラポールが確立されると、獲物はWhatsApp、Microsoft Teams、またはGoogle Meetを綿密に模倣した洗練されたフィッシングポータルに誘導される。これらの欺瞞的な外観を通じて、攻撃者はパスワードとセッショントークンを吸い上げ、電子メールリポジトリと機密アーカイブへの無制限のアクセスを確保する。特定の作戦では、これらの技術は被害者の地理的追跡さえ可能にする。最近のキャンペーンは、中東とアメリカ全域の活動家と著名人の集まりを捕らえた。
MuddyWaterと呼ばれるシンジケートは、専門家によってイランの情報保安省と明確に結びついている。その作戦期間を通じて、この幹部は、政府機構、通信大企業、エネルギー部門、および中東全体の企業を対象とした多数のスパイ活動を実行してきた。このグループは定期的に従来の企業ネットワークに浸潤し、インフラ内に長期にわたる根深い継続性を確立して、静かに情報を収穫する。このアクセスを確保するために、攻撃者は合法的なリモート監視および管理(RMM)ユーティリティを頻繁に悪用し、標準的なファイル共有サービスを通じてシームレスに配布される。彼らのフィッシング爆撃は、数百の企業職員を同時に殺到させることで知られている。
高い目標を攻撃する場合、MuddyWaterはカスタムメイドの悪意あるソフトウェアと短命のツールを配置し、急速で進化的なチャーンによって特徴付けられる。それでもなお、彼らの基本的な戦術は著しく一貫している。すなわち、敵対者はPowerShellやWMIなどの固有のWindowsユーティリティを乗っ取って「土地を生き延びる」。彼らはネットワーク全体の横方向の動きを容易にするために認証情報を綿密に盗み、頻繁に企業のメールドメインを奪取して内部フィッシングキャンペーンを開始し、それにより信頼できる同僚になりすまされる。
セキュリティアナリストはHandala集団、2023年後半に出現した主体に特に注視を集中させており、親パレスチナハクティビスト前衛として積極的にポーズを取っている。しかし、Check Point Researchは、Handalaペルソナが単なるVoid Manticoreクラスタ(情報保安省に結び付けられた機構)のデジタル外観として機能していると評価している。Handalaのキャンペーンの最高の目的は、深刻な心理的苦痛と大惨事的な評判の破壊をもたらすことである。
これらの悪漢は脆弱なアーキテクチャを侵害し、機密データを流出させ、地政学的な苦痛を最大化するために計算された瞬間にこれらの資料を戦略的に発表する。彼らの爆撃の絶対多数はイスラエルの機関を対象としているが、彼らの照準は時々異なる国の目標に徘徊する。彼らの最近のキャンペーンは明らかに機会主義的なトーンを示している。攻撃者はIT サービスプロバイダー内の脆弱性を積極的に調査し、これらのサプライチェーンの脆弱性をダウンストリームクライアントを危険にさらすための導管として利用する。1月以降、アナリストはStarlink衛星IPアドレスから発信されたHandala操作をも傍受し、このインフラを利用して外部アプリケーションの設定異常と脆弱な暗号防御を絶え間なくスキャンしている。
もう一つのシンジケートは、イラン国家機構と不可分に結びついており、Agriusという指定で活動している。この集団は2020年以来、地域内での破壊的な破壊的な侵入で悪名高い。彼らの作戦の大部分では、これらの攻撃者はデータ消滅「ワイパー」マルウェアを展開し、彼らの破壊行為を平凡なランサムウェア攻撃として綿密に偽装する。このグループは主に、脆弱なインターネット向けのWebサーバーを悪用することで侵入を開始する。
周囲の侵害に成功した後、攻撃者はASPX Webシェルを植え込み、その後、固有のシステムユーティリティを活用して秘密の偵察を行い、ネットワーク全体を横方向にナビゲートする。2025年6月のイスラエルとイラン間の12日間の紛争中、サイバーセキュリティ番兵はAgrius基盤構造がイスラエル内の脆弱な閉路テレビカメラをアクティブにスキャンしていることを検出した。そのような危険にさらされた光学装置は、物理的な爆撃の運動的な影響を監視するために戦略的に利用することができた。
Check Point Researchの計算によると、これらのイランシンジケートの大部分は著しく収束したパラダイムに基づいて動作している。これらの悪漢は積極的にフィッシングを兵器化し、合法的な管理ユーティリティを乗っ取り、外部向けサービス内の脆弱性を無情に悪用する。
企業と政府機関は、揺るぎない警戒を通じてそのような侵入の危険を有意に緩和することができる。すなわち、異常なログイン試行を綿密に監視し、システムアクセスを厳格に制限し、インターネット向けサービスを一貫してパッチし、未検証のソースからのソフトウェアインストールを断固として拒否する。現在の地政学的大火の背景に対して、これらの厳格な防御対策の実施は、侵入を初期段階で検出するために必要な重要な先見の明を提供し、したがって壊滅的な結果を回避する。
