イランのサイバーアクターは米国の組織を標的とした活動を拡大しながら、同時に中東全域のインターネット接続カメラを利用して情報収集と戦場認識を行っています。
APTグループMuddyWater、カメラ関連インフラストラクチャ、およびハクティビストコレクティブHandalaに関連する最近のインシデントは、稼働しているが制約のあるエコシステムを指しており、大規模で調整されたサイバーキャンペーンよりも持続性、可視性、および選別的な破壊を優先しています。
2026年2月初旬以来、イランのAPT MuddyWater(別名Seedworm/Static Kitten)は、米国銀行、米国空港、非営利団体、防衛・航空宇宙顧客にサービスを提供するソフトウェア供給業者を含む、米国とカナダの複数の組織へのアクセスを維持しています。
SymantecおよびCarbon Blackからのレポートは、以前に記録されていなかったバックドアを明らかにしており、Dindoorと呼ばれるこのバックドアは、DenoのJavaScriptおよびTypeScriptランタイムを使用してコマンドを実行し、被害者環境内での持続性を維持しています。
別のPythonベースのバックドアであるFakesetが、空港および非営利団体のネットワークで特定されました。これは、グループのツールセットをさらに拡大し、以前のMuddyWater活動に関連する再利用された署名証明書を通じて帰属を強化しています。
調査官は、Rclone同期ユーティリティを介したWasabiクラウドストレージバケットへのデータ盗取の試みも観察しており、即座の破壊よりも情報収集がこのキャンペーンの主要目標であることを示しています。
地域ISRセンサーとしてのカメラ
同時に、研究者は2026年2月28日からイスラエルおよび湾岸諸国全域のインターネット接続HikvisionおよびDahuaカメラに対する搾取の試みを増大させるイラン関連インフラストラクチャを観察しており、これは地域的な敵対行為の激化と一致しています。
この活動は、Hikvision脆弱性CVE‑2017‑7921、CVE‑2021‑36260、CVE‑2023‑6895、CVE‑2025‑34067、およびDahua認証バイパスCVE‑2021‑33044を含む既知の欠陥に焦点を当てており、これらすべてはパッチが利用可能ですが、多くの展開で公開されたままです。
イスラエル、カタール、バーレーン、クウェート、UAE、レバノン、キプロスなどの国の侵害されたカメラは、機密サイトのリアルタイムビューを提供でき、情報、監視、偵察(ISR)、緊急対応の監視、およびミサイルまたはドローン攻撃後の迅速な戦闘被害評価を可能にします。
同様の戦術は、以前のイラン・イスラエルの緊張激化時に記録されており、テヘランが商用IPカメラを従来の偵察機能の安価な拡張として扱うという見方を強化しています。
破壊的側面では、イラン関連ハクティビストグループHandalaは、世界的な医療技術企業Stryker(手術および神経技術機器のフォーチュン500製造業者)に対する大規模サイバー攻撃の責任を主張しています。
KrebsOnSecurityおよび他のアウトレットによって引用されたソースは、攻撃者がクラシックワイパーバイナリの展開ではなく、Microsoft Intuneデバイス管理を悪用して大規模なリモートワイプを発行したことを示しており、これは数十万台のデバイスに影響を与え、施設を手動プロセスにフォールバックすることを余儀なくされたと言われています。
マニフェストと声明で、Handalaはおよそ50TBの企業データの盗難も主張しており、破壊的活動をデータ主導の圧力と組み合わせ、イスラエル関連組織を標的とした過去のイラン関連ハクティビストキャンペーンと一致しています。
複数のサイバーセキュリティ企業は、以前にHandalaをイランの情報・安全保障省(MOIS)に関連付けており、このグループを否定可能で政治的に調整された破壊の柔軟なプロキシとして位置付けています。
ストレスを受けるサイバーエコシステム
最近のレポートと脅威インテリジェンス分析は、イランのサイバー機関は依然として能力があるが、軍事攻撃と制裁圧力によってインフラストラクチャと指揮構造に大きな破壊を吸収したことを示唆しています。
イラン・ハイブリッド戦争の最近のPolySwarm参考評価で概説されているように、テヘランは西側ネットワークの事前配置されたアクセス、商品インフラストラクチャ、およびHandalaハッカーグループなどのプロキシアクターにますます依存して圧力を維持しながら、中央集権的な調整は低下しているようです。
その結果は、「生き残っているが繁栄していない」サイバーエコシステムです。MuddyWaterは銀行、航空、防衛隣接環境内のアクセスを静かに保持しており、イラン関連の操作者は公開されたカメラをISRノードに変え、ハクティビストプロキシは日和見的ですが影響力の大きい破壊的操作を実行しています。
防御者にとって、スパイ活動の足がかり、監視主導のターゲティング、およびプロキシ配信の破壊のこの混合は、イラン活動を持続的で適応的な脅威として扱う必要性を強調しており、その全体的な結束とテンポは潜在的なピークより下のままです。
翻訳元: https://gbhackers.com/compromised-cameras/
