はじめに
Resecurityは、イランと関連があると思われる比較的新しいサイバー犯罪グループであるナシール・セキュリティを追跡しており、中東のエネルギー組織を標的にしています。ホルムズ海峡の封鎖やGCC加盟国(米国の同盟国)のエネルギーインフラに対するドローン・ミサイル攻撃など、イランの悪質な活動がこの地域で行われているため、エネルギー部門が最も影響を受けた地域の一つになっています。
Resecurityの脅威インテリジェンスチームが収集した成果物に基づくと、このグループはエンジニアリング、安全保障、建設に関連するサプライチェーンベンダーを攻撃しています。このような事件の結果として盗まれたデータは本物ですが、第三者(ターゲット企業の)から発信されたものであり、違反の起源についての誤った仮定につながる可能性があります。 特に、攻撃の焦点はエネルギー部門に集中しており、イランでの戦争開始以来、大きな経済的・技術的損害を受けています。 サイバースペースはそれを増幅するために使用されており、LNGおよびロジスティクスプロバイダーに対する最近の攻撃に従っています。
TTPs として、アクターはビジネスメールセキュリティ侵害(BEC)を標的とした詐取フィッシング(T1566)、偽装(T1656)、および公開アプリケーション(T0819)の悪用、安全でないクラウドストレージサービスからのデータ流出(T1530)を活用しています。特定された活動は、サプライチェーン攻撃(ベンダーや請負業者などの第三者を標的とする)と戦争中のイランとその代理人による偽情報(プロパガンダ)キャンペーンの成功した組み合わせを示しています。
2025年10月以来、グループの活動に大きな一時停止があること、グループの比較的低い知名度、およびソーシャルメディアプロフィールの不在を考慮すると、このような活動を特定のアクター、当事者、または国に帰属させることは、特に活発な地政学的紛争中に、極度の慎重さを持って行われるべきです。 Resecurityは、イランでの現在の出来事を増幅する「偽旗」、心理作戦(サイコップ)、および影響力キャンペーンの増加を予想しています。
背景
ナシール・セキュリティのようなグループの出現は、報復としてサイバー攻撃を実行するためのイランとその代理人による協力的な努力を示唆している可能性があります。Resecurityは、イランによって雇用されたアクセスブローカーとサイバー犯罪者の複数の追跡を行い、アクセスを取得し、攻撃的なサイバー機能を動員しています。
このグループは2025年10月5日頃に出現し、それ以来、イスラエルの大手IT企業の一つであるタルドール社に対する1つの攻撃のみを実行しています。この事件では、アクターはFortiGate Cloud、FortiEdge Cloud、およびその他のIT運用ソリューションへの不正なアクセスを確認するスクリーンショットを公開しました。このグループは「[被害者の]システム内でElbit Systems、IDF、Rafael、防衛省、Mossadに属する情報を見つける」ことを主張しました。
特に、影響を受けた組織がサプライチェーン内のプロバイダーであるため、違反は第三者にも影響を与える可能性があります。これは、ナシール・セキュリティが悪質なサイバー活動をスケーリングするためにサプライチェーンを標的とするための強い焦点を示した最初のエピソードでした。 深刻な損害をもたらす可能性は低い—むしろ、イスラエルを標的とした大規模な攻撃の見通しです。 脅威アクターによって侵害されたリモートアクセスの成果物を公開したにもかかわらず、これらの主張に続く他の組織へのリスク(物質的な違反を含む)についての確認された証拠がありませんでした。 悪質な活動は早期段階で封じ込められ、さらなる影響はありません。
プロキシ活動
彼らの最初の声明で、彼らは自分たちを「ヘズボラレバノンの息子たち」と呼びました。米国-イスラエル連合の共同行動がイランの現在のサイバー能力に大きな損害をもたらしているため、このような帰属は可能です(ただし完全には確認されていません)。これが、同様のイデオロギーを持つ他のアクターとグループがサイバー攻撃的なサポートを提供している理由です。 Resecurityの評価に基づくと、このグループはイラン支持のイデオロジーを持つ他の地域の複数のメンバーを含むかもしれませんが、ヘズボラに直接関連していません。 Resecurityは、傭兵を含む、攻撃を実行するために採用された幅広いスペクトルのアクターを示唆している可能性があります。
ほぼ1年後、このグループはミッションと新しいターゲットを発表しました—そのほとんどはエネルギー(石油・ガス)部門にあります。 更新されたメッセージでは、グループは自分たちを「アル・ヌサイルの息子たち」として帰属させ、「地域全体のアメリカ、イスラエル、シオニストの標的」を標的にしています。 反ユダヤ主義的な修辞はそのようなアクターにとって典型的です—デジタルメディアを通じた社会的な分極化と紛争を植え付けるためにも使用されます。
標的となった組織
このグループはドバイペトロリアム(UAE)、CC Energy Development(オマーン)、およびイラク系のガス・石油組織を標的にしています。
盗まれたデータには、スキーム、契約、リスク評価レポート、およびその他のドキュメントが含まれています。このグループはドバイペトロリアムから413 GB以上のデータを流出させたと主張していますが、Resecurityの洞察によると、これは真実ではないようです。実際のところ、収集されたインテリジェンスに基づくと、データは第三者から発信されています。 しかし、取得されたドキュメントは本物であり、敵に重要な情報が含まれている可能性があるため、この活動に関連するリスクはまだあります。
イランの脅威アクターによって取得されたドキュメントは、さらなる攻撃を計画し、油田とパイプラインインフラに対する標的を絞った攻撃のための事前ポジショニング段階として機能するための追加のコンテキストと洞察を提供する可能性があります。 これには、損害を与えた場合、施設に大きな影響を与え、修復が困難になる主要なインフラストラクチャコンポーネントの特定が含まれます。両方の要因により、特に一部の機器のリードタイムが長いため、攻撃からの回復は困難で、おそらく時間がかかります。
主要なGCC系エネルギー企業に関するリーク請求は2026年3月13日に公開されました。興味深いことに、このグループは長期間の沈黙の後、活動を加速させました – 2025年10月5日以降、従来のランサムウェアまたは金銭的に動機づけられたサイバー犯罪グループにとって珍しくない更新はありませんでした。 イランとの戦争の開始以来、彼らの活動の増加が観察されています。
Resecurityの評価に基づくと、このグループは上記の組織に直接ハッキングしていませんが、むしろ彼らの請負業者と第三者—サプライチェーンの一部です。 このグループは827ギガバイト以上のデータを盗んだと主張しており、これは第三者の侵害の範囲と比較して明らかな過大評価です。 アクターは本物のドキュメント(第三者から盗まれた)を利用し、侵害ポイントの調査の複雑さを利用しようとしました。これは時間がかかる可能性があり、聴衆を不確実性に残します。 このような戦術は脅威アクターが誤解を招くナラティブを植え付けるために広く使用されています。
2026年3月21日 – このグループはリストに新しい被害者を追加しました:アル・サフィ石油会社(PURE IN)、サウジアラビア王国(KSA)およびその他の地域でガソリンスタンドを運営しています。 実際のところ、これはナシール・セキュリティがKSAでの足跡を持つ組織に言及した初めての時でした。
新しい発表では、このグループは自分たちを「アル・ナシール・レジスタンス」と呼びました。
Resecurityの評価に基づくと、データはエネルギー会社から直接ではなく、火災警報および安全機器ベンダーから流出しました。
データリークサイト(DLS)
ナシール・セキュリティのデータリークサイト(DLS)には、クリアネットドメインとTORミラーの両方があります。このドメインは暗号通貨支払いを受け入れるNamecheapを通じて登録されました。
クリアネットドメイン:
ドメイン名:NASIR.CC
レジストリドメインID:206658540_DOMAIN_CC-VRSN
レジストラWHOISサーバー:whois.namecheap.com
レジストラURL:http://www.namecheap.com
更新日:2025-10-04T11:51:27Z
作成日:2025-10-04T11:51:24Z
レジストリ有効期限日:2026-10-04T11:51:24Z
レジストラ:NameCheap, Inc.
レジストラIANA ID:1068
レジストラアビューズ連絡先メール:[email protected]
レジストラアビューズ連絡先電話:+1.6613102107
ドメインステータス:clientTransferProhibited https://icann.org/epp#clientTransferProhibited
ネームサーバー:DNS1.REGISTRAR-SERVERS.COM
ネームサーバー:DNS2.REGISTRAR-SERVERS.COM
TORベースのDLS:
http[://]yzcpwxuhbkyjnyn4qsf4o5dkvu6m2fyo7dwizmnlutanlmzlos7pa6qd[.]onion
帰属
ナシール・セキュリティに帰属するサプライチェーン攻撃は、イランまたはその代理人によって雇用または後援されたサイバー傭兵または個人によって実行される可能性があります。このグループの声明には誤解を招くナラティブが含まれており、「ヘズボラレバノンの息子たち」と「アル・ヌサイルの息子たち」の両方に帰属しています。
後者の場合、アクターはヌサイリ人(またはアラウィ人)を指している可能性があります。シリアとトルコの宗派的グループであり、1,200年以上のスパンの歴史を持ち、ムハンマド・イブン・ヌサイルの信奉者によって設立されました。秘密、奥義的な信念(アリの神聖さ、転生、三位一体を含む)が彼らを特徴づけています。このセクトはアル・アサド家を通じてシリアで大きな力を保有しています。別の視点から、3月21日の更新で「アル・ナシール・レジスタンス」に言及することによって、彼らはまた、ガザ地区に本拠地を置く主要なパレスチナ武装グループである人民抵抗委員会(PRC)の軍事部門と自分たちを関連付けようとしているかもしれません。
言及されたグループの一部の命名は意図的に誤って綴られており、これは合法性の見通しを生み出しますが、これらのグループの実際の責任と彼らの関与についての不確実性をもたらします。 上記のグループは、現在、サイバー操作ではなく運動論的紛争に大きく焦点を当てているため、エネルギー企業を侵害しようとする努力にどのように関連している可能性は低いです。
プロパガンダ、情報操作、疑似リーク、および偽旗
データリーク請求は大幅に誇張されています—このグループは、主要なエネルギー企業と協力するエンジニアリングと建設に従事する中東の請負業者のビジネスメールアカウントを標的にしました。このようなキャンペーンはイランの操作者とその代理人による典型的な情報操作活動です。
すべての観察された主張にわたるパターンは、盗まれた情報の誇大な量です。これは、実際のリークのために誤解釈された情報源です。 アクターはサンプルとして8~10ファイルをリリースしますが、完全なデータはリリースしません。 当社の脅威インテリジェンスチームは、影響を受けた組織の一部と関わりました。 このグループから連絡を受けたり、恐喝されたりしたことがないことが確認されました。これは、利益主導ではなくイデオロギー的な動機を示唆している可能性があります。 イランはこのような請求を植え付けることによって、サイバースペースを通じてプロパガンダ活動を継続し、GCC諸国への反撃の可能性をハイライトしています。
同時に、それはイランのアクターが利用できるサプライチェーンのサイバーセキュリティリスクをハイライトする可能性があります。Resecurityは、企業が警戒を続け、第三者のサイバーセキュリティモニタリングとベンダーリスク評価を加速させることを推奨しています。
有意性
ITおよびOTサプライチェーンは、イランの高優先度の標的であると予想され、戦争中の反撃を実証するための定性的ではなく定量的な結果を生成し、サイバースペースを戦争と心理作戦(サイコップ)の重大な領域として活用できます。
