イランとリンクしたサイバー脅威行為者は米国および同盟国ネットワークに対するサイバー作戦をエスカレートさせており、Seedwormは現在の地域紛争の中で重要インフラおよび高価値組織に対して新しいバックドアを最近展開しています。
イランのAPTグループSeedworm(別名MuddyWater、Temp Zagros、Static Kitten)に関連する活動は2026年2月初旬以来、複数の米国組織のネットワークで観察され、最新の米国-イスラエルによるイラン攻撃まで継続しています。
ターゲットには、米国銀行、米国空港、北米の非営利団体、および防衛・航空宇宙セクター向けの米国ソフトウェアサプライヤーのイスラエル事業が含まれます。
活動的な敵対状態の期間中に米国およびイスラエル環境の両方でこの足がかりを保有することは、任務を与えられた場合にSeedwormが破壊的な攻撃へシフトするリスクをもたらす潜在的に危険な立場に置かれています。
最初に公開したのはSymantecの研究者により2010年で、ワームがNatanz施設外に拡散してプライベートネットワーク上で発見された後のことです。
研究者は、ソフトウェア企業のイスラエル支社、米国銀行、カナダの非営利団体に属するシステム上から、Dindoorと呼ばれる以前は未知のバックドアを特定しました。
Dindoorはより一般的に監視されているフレームワークではなく、JavaScriptおよびTypeScriptのDenoランタイムを活用しており、サンプルは「Amy Cherne」に発行された証明書で署名されており、信頼されたコード署名インフラを悪用または装う試みを示しています。
少なくとも1つの侵入では、攻撃者はRcloneを使用してWasabi クラウドストレージバケットへのデータ流出を試みましたが、この転送が成功したかどうかは不明なままです。
Seedwormインフラストラクチャ
米国空港と非営利団体のネットワーク上で、調査官は「Amy Cherne」および「Donald Gay」に属する証明書で署名された、Fakesetという名前の別のPythonベースのバックドアを発見しました。
ワイパーはマスターブートレコード(MBR)を上書きしてコンピュータをクラッシュさせる前に、ハードディスク上のファイルを暗号化しました。
「Donald Gay」証明書は以前Seedwormに関連するマルウェアと関連付けられており、同じオペレーターがこの最新の活動の背後にあることへの分析的信頼を強化しています。
Fakesetはgitempire.s3.us-east-005.backblazeb2.comおよびelvenforest.s3.us-east-005.backblazeb2.comを含むドメインでホストされているBackblaze クラウドストレージインフラストラクチャから取得され、ステージングおよびコマンド・アンド・コントロール用に合法的なクラウドプラットフォームを悪用するより広いイランの傾向を反映しています。
Donald Gay証明書は、DarkcompバックドアをプルダウンするローダーであるStagecompに署名するためにも使用されており、複数の主要ベンダーにより以前にSeedwormに関連付けられたツールセットです。
StagecompおよびDarkcompはこのキャンペーンで侵害されたネットワーク上で直接観察されていませんが、証明書の再利用と重複するツールは、歴史的なSeedworm作戦と現在の侵入の間に強い法医学的橋梁を形成しています。
CISAがイランの情報保安省(MOIS)の下で活動していると説明しているSeedwormは、歴史的に複数の地域にわたる通信、政府、およびエネルギー事業体に対するスパイ活動に焦点を当てており、カスタムマルウェアを開発しながら、デュアルユースおよび生存ツールにも依存しています。
本キャンペーンは、2026年2月28日に開始された米国とイスラエルによるイランへの調整された空襲が背景にあり、最高指導者アヤトラ・アリ・ハメネイおよび他の高位職員を殺害し、湾岸地域全体で報復ミサイルおよびドローン攻撃をトリガーしました。
3月初旬に検討された米国の情報評価は、イランとその代理がサイバー作戦で対応する可能性が高いことを警告し、米国領土への大規模な運動攻撃ではなく、ウェブサイト破壊、DDoS、および国家と一致した「ハクティビスト」による他の日和見活動を強調しました。
イランとイスラエルの両国は、シグナリングと強制のための破壊的なサイバー攻撃を使用することの文書化された歴史を有しており、米国、イスラエル、およびパートナー国の組織は、軍事目標に直接関連していなくても波及を受ける可能性があることを意味しています。
パレスチナを支持するイランと一致したグループであるHandalaは、イスラエル職員、医療機関、および地域エネルギー企業の侵害を主張し、最近のレポートは、イラン全国のインターネット中断中に作業を維持するために2026年1月中旬からStarlink衛星インターネットを使用したことを示しています。
2025年に出現したパレスチナ支持のハクティビスト集団であるDieNetは、エネルギー、金融サービス、ヘルスケア、トランジットを含む米国の重要インフラセクターに対するDDoS攻撃を主張し、典型的にサービスとしてのDDoSプラットフォームおよび TCP SYNフラッドおよび増幅攻撃などの古典的な容積メトリクス技術を使用しています。
守備者が今何を注視すべきか
Seedwormの現在のアクセスおよびイランのより広い攻略を考慮すると、守備者は米国および同盟国の重要インフラを目的とした騒々しい活動と緩和された活動の両方を予想する必要があります。
並行して、より能力のある国家と一致した行為者は、スパイ活動または将来の破壊的な攻撃のために位置付けるために、重要インフラオペレーターおよびそのサプライチェーンに対して認証情報収集、脆弱性搾取、および永続的な操作を続けることが期待されます。
高い可視性のキャンペーンは、政治的なメッセージを送信し、心理的圧力を生成するために設計された、政府ポータル、空港およびポート、ロジスティクスプロバイダー、銀行、通信社およびメディアをターゲットとするDDoS、破壊、およびリーク請求を含む可能性があります。
DDoSパターン、ウェブ搾取の試み、およびパスワードスプレーのためのインターネット対向資産の監視強化と、多要素認証の実施、アイデンティティシステムの強化、およびオフライン、不変のバックアップの維持を組み合わせることは、このイランに関連した進化する脅威活動からのリスク軽減における重要なステップとなります。
セキュリティチームは、Rcloneのような工具の異常な使用、クラウドストレージプロバイダーへの異常なデータ転送、Denoのようなランタイムの予期しない使用、および以前悪用された証明書に関連するコード署名バイナリなどの指標に特に注意を払う必要があります。
