セキュリティ研究者は、イランの情報保安省(MOIS)を、長期間にわたる複数ペルソナのサイバー作戦に関連付けた。この作戦において、脅威アクター集団Homeland Justice、Karma、Handalaは、独立したハクティビスト組織ではなく、単一の国家主導能力の調整された作戦前線として評価されている。
米国政府報告、民間部門の脅威インテリジェンス、パッシブDNS分析、およびアーカイブされたウェブとTelegramコンテンツの継続的な検証に支援された本評価は、これら3つのペルソナがMOIS関連の統一されたサイバー影響エコシステムを形成していることを高い信頼度で結論付けている。
各ブランドは、妨害、スパイ行為、リーク作戦、心理的強制など異なるが相互補完的な役割を果たしており、共有されたインフラストラクチャ、ツール、および手法のプールから引き出している。
本評価の構造的中心にあるのは、Seyed Yahya Hosseini Panjakiの報告された関与であり、この個人はMOISに関連していると評価され、その内部セキュリティと反テロ機構に関連付けられている。
その存在は、フリーランス請負人の取り決めではなく、制度的階層内の指揮レベルの機能を示し、これらの作戦をイラン国家情報の公式的な任務配置と戦略的調整の範囲内に確かに配置している。
Homeland Justiceは2022年にアルバニア政府インフラへの攻撃中に公に現れた。イラン系のアクターはMicrosoft SharePointの脆弱性を利用し、調整された破壊的段階を実行する前に約14ヶ月間にわたって秘密のアクセスを維持していた。
アクターはGoXML.exeとcl.exeを含むディスクワイパーとともにランサムウェアスタイルの暗号化をデプロイし、その後、制御されたTelegramチャネルとウェブサイトを通じた即座の公開帰属が続き、その後のすべての段階を定義してきた繰り返し可能なハック・アンド・リーク作戦モデルを確立した。
作戦が進化するにつれて、2023年10月のイスラエル・ハマス紛争に続いてKarmaおよびKarmaBelow80ペルソナが出現し、キャンペーンはWindowsおよびLinuxプラットフォームの両方でBiBi Wiperを使用してイスラエル組織に向けてピボットした。
Handalaペルソナは2024年以降に傑出するようになり、エコシステムの最も心理的に洗練された層を表している。これは、キュレートされたデータリーク、ナラティブの形成、および国境を越えた情報機関職員、異議を唱える者、およびジャーナリストへの標的を絞った脅迫に焦点を当てている。
キャンペーンの最も重要な最近の進化は、2026年3月のStryker Corporation事件で観察された。Handala関連のアクターは、クラウドベースのエンタープライズデバイス管理プラットフォームであるMicrosoft Intuneを侵害したと報告されており、世界中に分散されたインフラストラクチャ全体の推定80,000~200,000台のデバイスをリモートで消去するために使用された。
破壊的な行動の前に約50テラバイトのデータが流出し、復旧には数日間かかった。
この手法ドメインツールは、エンドポイントレベルでマルウェアをデプロイするのではなく、アクターはエンタープライズコントロールプレーン自体を標的にし、組織自体の管理権限を有効に武装化した。これは手法における根本的な転換を示していた。
Intuneの悪用は検出可能なマルウェア成果物の必要性を排除し、数十の国々での同時的中断を可能にし、流出から公開帰属までのタイムラインを圧縮した。これらはすべてMOIS関連のハック・アンド・リーク学説の中核的な目標である。
翻訳元: https://cyberpress.org/mois-runs-fake-personas/
