イラン系APTグループ「Dust Specter」は、AI支援カスタム.NETマルウェアを使用してイラク政府高官を標的にしており、DLLサイドローディング、インメモリPowerShell、ClickFixスタイルのルアーをブレンドした2つの攻撃チェーンを使用しています。
2026年1月、Zscaler ThreatLabzはイラク高官を標的とした新しいキャンペーンを追跡しました。このキャンペーンでは、攻撃者がイラク外務省になりすまし、侵害された政府インフラをペイロードのホスティングに悪用しました。
ThreatLabzは4つの未記載の.NETコンポーネント(SPLITDROP、TWINTASK、TWINTALK、GHOSTFORM)を特定しました。これらは2つの関連する攻撃チェーンで使用されています。
インフラの再利用により、このグループは2025年7月のClickFix作戦とも関連付けられます。この作戦では、ドメインmeetingapp[.]siteを経由してWebexテーマのルアーが兵器化されました。
ThreatLabzが内部的に命名した「Dust Specter」は、重複するツール、被害者プロフィール、およびAPT34にリンクされた作戦を含むイラク対象の過去のイラン系APT活動とのTTPに基づいて、中程度から高の信頼度でイラン系と評価されています。
SPLITDROP、TWINTASK、TWINTALK
最初の攻撃チェーンは、イラク外務省のコンテンツになりすましている「mofa‑Network‑code.rar」という名前のパスワード保護されたRARアーカイブで始まります。
内部には、WinRARになりすました32ビット.NETバイナリがSPLITDROPドロッパーとして機能し、ユーザーにパスワードの入力を求め、PBKDF2派生キーを使用して埋め込まれたAES-256暗号化リソースをC:\ProgramData\PolGuid.zipに復号化します。
アーカイブはPolGuidディレクトリに展開され、TWINTASK workerモジュールへのDLLサイドローディングに使用される正規のVLC.exeが含まれています。
悪意のあるlibvlc.dllを経由してロードされたTWINTASKは、C:\ProgramData\PolGuid\in.txtを15秒ごとにポーリングし、コマンドをbase64デコードし(先頭のジャンク文字をスキップ)、PowerShell経由で実行し、結果をout.txtに記録します。
初期コマンドは、VLC.exeとバンドルされたWingetUI.exeのRun-keyエントリを作成して永続性を確立し、これはTWINTALK C2オーケストレータであるhostfxr.dllをサイドロードします。
TWINTALKはランダムに生成された16進URIパスと、サンドボックストラフィックから実ボットを区別するためのカスタム6文字チェックサムを使用してC2にビーコンを送信し、ボットIDとバージョンをAuthorizationヘッダーで送信される弱く署名されたHS256 JWTにラップします。
コマンド処理は意図的に最小限です。タイプ0はin.txt/out.txtチャネル経由でPowerShellを実行し、タイプ1はファイルをダウンロードし、タイプ2はローカルデータをアップロードします。JSON応答は位置的に解析され、キーベースの検出を回避します。
GHOSTFORM統合RAT
2番目の攻撃チェーンは、分割アーキテクチャをGHOSTFORM(SPLITDROP、TWINTASK、TWINTALKの機能を統合し、ステルスとソーシャルエンジニアリングにより力を入れた単一の.NET RAT)に置き換えます。
いくつかのサンプルには、政府職員向けの公式外務省アンケートであるかのような偽のアラビア語調査を開く、ハードコードされたGoogle Forms URLが埋め込まれています。
GHOSTFORMは引き続きジッター付きビーコン遅延を使用していますが、Windowsウェイト APIの代わりに、ほぼ透明な10×15のWindowsフォーム(不透明度がほぼゼロで、タスクバーから非表示)を生成し、メインループに戻る前に実行を遅延させるためにタイマーを使用します。
インフラとソーシャルエンジニアリングスタイルのこの再利用は、2025年7月のWebex作戦とDust Specterの2026年イラク焦点キャンペーン間の関連性をさらに強化しています。
また、単一インスタンスを強制するためにGlobal_ミューテックスを作成し、ランダム値の代わりにアセンブリ作成時刻からボットIDを派生させ、ランダムに生成されたように見えるゼロ以外のボットバージョン文字列を使用しています。
ThreatLabzアナリストは、TWINTALK およびGHOSTFORMコード内の絵文字、異常なUnicode、プレースホルダーのようなマジック定数(たとえば、チェックサムルーチン内の0xABCDEF)に注目し、イラン関連の他のキャンペーンで生成AI作成スニペットと関連付けられているパターンと一致しています。
これは、攻撃者がAI支援マルウェア開発を試験していることを示唆しており、イラン系APTがツールとトレードクラフトにAIを統合しているというより広い報告と一致しています。
同じC2ドメイン「meetingapp[.]site」は、以前、WinWebex.exeペイロードをダウンロードして長寿命スケジュール済みタスクを登録するPowerShellコマンドをコピーペーストするよう被害者に指示するWebexテーマのClickFixルアーをホストしていました。
侵害の指標(IOC)
ネットワーク指標
| 種類 | 指標 |
|---|---|
| C2ドメイン | lecturegenieltd[.]pro |
| C2ドメイン | meetingapp[.]site |
| C2ドメイン | afterworld[.]store |
| C2ドメイン | girlsbags[.]shop |
| C2ドメイン | onlinepettools[.]shop |
| C2ドメイン | web14[.]info |
| C2ドメイン | web27[.]info |
| 攻撃チェーン2を含むZIPアーカイブをホストするURL | hxxps://ca[.]iq/packages/mofaSurvey_20_30_oct.zip |
翻訳元: https://gbhackers.com/iran-linked-dust-specter/
