高度で長期的なサイバースパイ活動キャンペーンがリビアの重要インフラを標的にして成功し、石油精製所、通信企業、政府機関が含まれています。
2025年11月から2026年2月の間に活動する脅威アクターは、公開されているAsyncRATバックドアを展開してネットワークに侵入し、継続的なアクセスを保持していました。
標的組織の戦略的性質とマルウェアの諜報活動能力を考慮すると、セキュリティ研究者たちはこの活動が国家支援による行為者の仕業である可能性があると疑っています。
主要石油生産国の標的化は特に注目すべき点です。これは湾岸地域の最近の地政学的エスカレーションに先立つもので、世界的なエネルギー市場を混乱させています。
このキャンペーンは社会工学に大きく依存しており、スピアフィッシングメールが主な感染経路でした。攻撃者はリビアの時事問題への関心を悪用するため、非常に具体的な誘い文書を利用しました。
顕著な例の1つは、「流出したCCTV映像 – サイフ・アル=カダフィの暗殺.gz」という名前のファイルで、2026年2月初旬に実際に起こった主要な政治指導者の暗殺を参照していました。
このローカライズされたコンテキストは、キャンペーンが日和見的な攻撃ではなく、慎重に計画された標的化された活動であることを強く示唆しています。
被害者が誘い文書と相互作用すると、同様のトピックに関連したファイル名を持つVBScriptダウンローダーが実行されました。
これらのダウンローダーは、人気のあるクラウドベースのファイルホスティングプラットフォームであるKraken Filesからファイルを取得しました。ダウンロードされたペイロードは、画像ファイルに巧妙に変装したPowerShellドロッパーでした。
実行されると、このドロッパーは「devil」という名前のスケジュールタスクを作成して感染したマシンに永続性を確立し、マルウェアがシステムに残ったまま実行し続けるためにXMLファイルを継続的に実行しました。
リビア組織の標的化は、地域的不安定性を利用するサイバー脅威行為者の成長傾向を強調しています。
リビアは10年以上にわたって不安定な状態が続いており、脅威行為者はこのような環境を利用して重要インフラへの足がかりを得ています。
現在の地政学的状況を考えると、この戦術には深刻な影響があります。ホルムズ海峡での最近の衝突は、世界的な石油供給の移動を脅かし、原油価格が急上昇する可能性があるという予測につながっています。
その結果、リビアのような直接の紛争地域以外のエネルギー生産国は、諜報活動のための非常に魅力的な標的になっています。
エネルギーセクターで活動する組織は、これらの混乱した時期にスパイ活動の主要な標的であることを認識する必要があります。
さらに、すべてのセクターは、時事的なグローバルイベントをスピアフィッシングキャンペーンの誘い文書として利用する脅威行為者に対して警戒を続ける必要があります。
組織がネットワークを防御するのを支援するため、セキュリティ研究者はこのキャンペーンに関連する侵害指標のリストを公表しました。
翻訳元: https://cyberpress.org/asyncrat-targets-libyan-refinery/