TA453、TA473、および複数の新興脅威クラスターは、イラン戦争に関する速報を悪用して、中東およびそれ以外の政府機関と政策組織に対する非常に標的化されたフィッシング攻撃キャンペーンを実施しています。
これらの活動は、従来のスパイ活動と日和見的な認証情報窃盗およびマルウェア配信を組み合わせており、侵害された政府アカウントと信頼されたクラウドサービスを悪用することで成功率を高めています。
現在の活動の波は、2026年2月28日のイラン指導部、ミサイル、防空システムおよびその他の軍事インフラに対する米国・イスラエルの攻撃作戦「エピック・フューリー作戦」に続き、その後のイランの米国大使館と基地への報復ミサイルおよびドローン攻撃が発生しています。
戦争が2週目に入るにつれ、イランのハッキビスト活動家は破壊的な攻撃を主張しています。
Proofpointはまだ開発中の活動を分類しており、完全なTA識別子を割り当てるのに十分なデータがあるまでUNK_クラスターとします。同社は、その報告が地政学的分析または政策見解ではなく、技術的観察を反映していることを強調しています。
同時に、スパイ活動に焦点を当てた行為者は、イランの一時的な国内インターネット遮断にもかかわらず、より静かに活動を続けています。
3月8日、TA453(チャーミング・キッテン、ミント・サンドストーム、APT42)は米国のシンクタンクに対するフィッシング試行が観察され、長期的な情報収集の優先事項が危機の中でも変わらないことを強調しています。
中国関連UNK_InnerAmbush
3月初旬、中国系と疑われるクラスターUNK_InnerAmbushは、侵害された大使館アカウント「uzbembish@elcat[.]kg」から送信されたメールを使用して、中東の政府および外交機関を標的にしました。
初期のルアーは、アヤトッラー・ハメネイの死に関する機密写真の共有を主張し、後にイスラエルが湾岸の石油とガスインフラに対する秘密作戦を準備していたという主張にシフトしました。
リンクはGoogle Driveアーカイブ「Photos from the scene.rar」または「Strike at Gulf oil and gas facilities.zip」を指し、JPG画像に偽装したLNKファイルが含まれていました。
これらのショートカットを開くと、署名済みの正当なバイナリ(「nvdaHelperRemoteLoader.exe」)でDLLサイドローディングを悪用するローダーが実行され、悪意のあるDLL(「nvdaHelperRemote.dll」)を読み込んで、ヘルプファイルからCobalt Strikeビーコンを復号し、「support.almersalstore[.]com」にコールバックしました。
侵害されたサイトでホストされている一意の追跡ピクセルは、特定の対象メールアドレスがルアーを開いたときに記録しました。
TA402(フランケンシュタイン、クルエル・ジャッカル)は、侵害されたイラク外務省のアドレスと攻撃者が管理するGmailアカウントを利用して、中東の政府の被害者に紛争をテーマにしたメールを送信しました。
メッセージは米国の地上侵攻の可能性と新しい湾岸軍事同盟を参照し、受信者のIPジオロケーションに応じて偽造PDFを表示するか、「mail[.]iwsmailserver[.]com/owa/auth/logon.aspx?uid=<uuid>」のOutlook Web App詐欺ページにリダイレクトするリンクが埋め込まれていました。
新しいクラスターUNK_NightOwlは同様に認証情報を追求し、Microsoft OneDriveを詐称し、侵害されたシリアの緊急省メールと偽の「War Analyse Ltd」Outlookアカウントを使用して中東政府の標的に対応しました。
被害者は「iran.dashboard.1drvms[.]store/…」のOWAスタイルのフィッシングページに誘導され、パスワードを送信した後、疑惑を軽減するために正当な紛争追跡サイトiiran.liveuamap[.]comにリダイレクトされました。
3月5日、パキスタン系と疑われるUNK_RobotDreamsは、「Gulf Security Alert: Iran Retaliation Impacts」メールをインドに拠点を置く中東政府組織に送信し、「jscop.mea.gov.in@outlook[.]com」からインドの外務省になりすましました。
添付PDFは、クリックすると「defenceprodindia[.]site/server.php?file=Reader_en_install」にリダイレクトする偽のAdobe Readerボタンが付いたぼやけた詐欺を表示しました。
そのサイトはジオフェンシングを使用し、オフリージョンの訪問者には詐欺のみを提供し、Azure Front DoorでホストされるインフラストラクチャからPowerShellを介してRustベースのバックドアを取得する.NETローダー(「Reader_en_install.exe」)を意図された被害者に提供し、「VLCMediaPlayer.exe」として保存しました。
ベラルーシ系のTA473(Winter Vivern)は、3月3日から5日の間に、ヨーロッパと中東の政府機関にメールを送信し、侵害された可能性が高いインフラストラクチャから送信しながら、欧州理事会議長のスポークスパーソンになりすまして並列キャンペーンを実施しました。
TA453の持続的なスパイ活動重視
戦争をテーマにした多くのルアーの嵐の中で、Proofpointはこれまでのところ、紛争のタイムラインに直接関連するTA453キャンペーンを1つだけ記録しています。
TA453はフリーメールアドレス「McManus.Michael@hotmail[.]com」を使用してヘンリー・ジャクソン・ソサエティーの研究責任者になりすまし、米国のシンクタンク目標に中東防空円卓会議への招待を通じて関わり、ラポートを構築するために正当なOneDriveでホストされたPDF提案を共有しました。
信頼が確立されると、TA453は「transfergocompany[.]com」への悪意のあるリンクを送信し、これは「fileportalshare.netlify[.]app」のNetlifyでホストされたOneDrive品質の認証情報収集ページにリダイレクトされ、被害者のメールアドレスで事前に入力されていました。
この作戦はTA453の長年の手口である、機密地域政策テーマに関する遅い社会工学と認証情報窃盗を反映し、ここではライブのイラン紛争ナラティブに適応しています。
これらのキャンペーン全体で、敵対者は繰り返しイラン戦争の進展を高い信頼性の口実として武器化し、侵害された政府アカウント、一般的なフリーメール、および信頼できるクラウドプラットフォームに依存して防御をバイパスしています。
定常的なスパイ活動と迅速に展開された紛争をテーマにした作戦のこの組み合わせは、戦争が高い信頼性の社会工学ルアーであり、この地域を監視する複数の国家系の脅威行為者の更新された収集優先事項の推進力の両方であることを示唆しています。
TA453のような一部の行為者は、主に定期的なスパイ活動の話題的な口実として危機を使用しているようですが、UNKクラスターやTA473を含む他の者は、中東の政府と外交チャネルに対する情報収集への広範なピボットを示しています。
