単一のイラン国家主導の作戦は、複数のいわゆる「ハックティビスト」ブランドの背後に隠れており、異なるオンラインアイデンティティを使用して1つの協調的なグローバルサイバーキャンペーンを実行しています。
新しい分析によると、3つの著名なペルソナであるHomeland Justice、Karma/KarmaBelow80、Handalαをイランの情報保安省(MOIS)に結びつけており、彼らが主張する独立したハックティビストグループではなく、むしろ国家主導の作戦の一部です。
研究者によると、これらのアイデンティティは同じ技術チーム、インフラストラクチャ、プレイブック上の相互に置き換え可能な「スキン」として機能しており、テヘランがメッセージと目標をセグメント化しながら集中化された制御を維持することができます。
これらのペルソナは異なる地域に焦点を当てています。Homeland Justiceはアルバニア、Karmaはイスラエル、Handalαはより広い反西側およびパレスチナ支持のテーマを扱っていますが、基礎となるツール、インフラストラクチャ、戦術は3つすべてで非常に一貫しています。米国当局はこれらのグループが使用するブランド付きリークサイトおよびドメインをMOISの心理作戦に明示的に結びつけました。
アルバニアからイスラエルへ、そしてそれ以上へ
このキャンペーンは2022年に最初に世界的な注目を集めました。Homeland Justiceがアルバニア政府に対する破壊的な攻撃を主張した時です。Panjakiのようなコマンドレベルの人物の関与は、このような一貫性に対する統一的な説明を提供します。
調査官によると、MOIS操作者はアルバニアのネットワーク内に1年以上滞在し、露出したMicrosoft SharePointシステムを悪用し、収集した認証情報を使用して横方向に移動し、メールを流出させ、その後、ワイパーと暗号化ツールをデプロイしてからオンラインで大声で信用を主張しました。
2023年後半にイスラエル・ハマス戦争が始まった後、同じ技術がイスラエルの組織に対するKarmaペルソナの下に現れ、カスタムWebシェル、認証情報ツール、BiBi Wiperのような破壊的なユーティリティと手動でのキーボード活動を混在させました。
2024年までに、Handalαブランドは主要なフロントとなり、handala-hackおよび「redwanted」サイトのような酷似したドメインをサイクルしながら、ハックアンドリークおよび破壊的な操作を実行して、クレームとリークされたデータをホストしました。
研究者はこのエコシステムを、純粋な技術的破壊よりも恐怖、評判の損害、政治的圧力を引き起こすために設計されたハックアンドリークの影響力マシンとして説明しています。
各操作は一貫したサイクルに従います。アクセスを取得し、静かにメールとファイルを流出させ、場合によっては破壊をトリガーし、その後、MOIS管理下のサイト、Telegramチャネルコントロール、およびソーシャルメディアを通じて盗まれたデータを武器化します。
アルバニア作戦の影響段階は、ランサムウェアスタイルの暗号化と破壊的なワイピングを組み合わせ、GoXML.exeおよびcl.exeなどのツールを使用し、伝播ユーティリティでサポートされていました。
アナリストは、これらのサイトが閉鎖されるたびに、新しく同一のドメインが素早く現れ、HandalαおよびHomeland Justiceブランドを保持していることに注目しています。
すべてのペルソナにわたって、オペレータは「土地から生活する」技術に大きく依存しています。インターネット対応サービスの悪用、軽量Webシェルのデプロイ、PowerShellの悪用、RDPやSMBなどの標準的な管理ツール、およびコマンドアンドコントロールおよびデータ流出のためのTelegramのBot API使用の増加です。
米国の検察は最近、Justicehomeland[.]org、Handala-Hack[.]to、Karmabelow80[.]org、Handala-Redwanted[.]toを含む複数のドメインを押収し、MOISがそれらを実行してハッキングを主張し、盗まれた情報を公開し、ジャーナリストや反体制派に対する暴力を扇動さえしたと述べています。
同じエコシステムは、反体制派、ジャーナリスト、反対派ネットワークを監視するためにトロイの木馬化されたアプリを使用する並列的な監視キャンペーンを実行し、後のリークおよび脅迫操作を支援しています。
2026年3月の医療技術企業Strykerに対する攻撃は、このアプローチがどの程度進化したかを示しています。
HandalαアクターはMicrosoft Intuneの管理者アカウントをハイジャックしたと報告されており、正当なリモートワイプ機能を使用して79か国にわたって最大200,000個のデバイスをリセットし、Telegramで公表される前に数十テラバイトのデータを盗みました。
米国機関はその後、クラウド管理ツールを強化し、強力な多要素認証を使用し、高権限アクセスをロックダウンするよう組織に警告する緊急勧告を発行しました。
アナリストは、Homeland Justice、Karma、Handalαを別々の「ハックティビスト集団」として扱うことは脅威を過小評価していると警告しています。なぜなら、彼らは実際には統一された、MOIS指導の機能であり、スパイ行為、破壊、心理作戦の間を迅速にピボットできるからです。
防御者にとって、類似のインフラストラクチャ、重複するワイパーコード、共有されたリークパイプライン、Telegram C2の一般的な使用は、一見異なるインシデントが同じ国家支持のオペレータに遡る可能性があることを示す重要な指標です。
セキュリティ機関は、組織がこれらのブランドの下での破壊的な攻撃、メールリーク、ドクシングキャンペーン、Telegramベースの脅迫がすべて1つの協調的なイラン情報作戦戦略の一部であり、孤立した思いつきではないと想定すべきだと述べています。
翻訳元: https://gbhackers.com/irans-mois-tied/
