イラン関連のハッカーが犯罪エコシステムを利用して国家サイバー作戦を強化
イラン関連のサイバー攻撃者は、より広範なサイバー犯罪エコシステムと連携し、犯罪ツール、インフラストラクチャ、ビジネスモデルを利用して国家後援の作戦を支援し、関与を隠蔽しています。
これまで、イランの情報機関は、物理世界での監視、誘拐、暗殺計画などを行うために、犯罪者の中間者を頼りにしてきました。例えば、米国財務省は、Naji Ibrahim Sharifi-Zindashtiが率いる薬物ネットワークを制裁し、MOIS(イラン情報省)の指示で国外の反政府派を標的としていると説明しています。
オンラインでも同様のパターンが見られます。MOIS関連のサイバー攻撃者は、サイバー犯罪マーケットプレイス、アクセスブローカー、共有インフラストラクチャを利用して国家目標を追求し、独自のツールを使用するのではなく、犯罪者と同様のエコシステムに参加しています。
MOIS関連の攻撃者
MOIS関連の攻撃者、例えばVoid ManticoreやMuddyWaterは、最近のキャンペーンで商用マルウェア、マルウェア・アズ・ア・サービス・プラットフォーム、アフィリエイト型ランサムウェア活動と重複しています。
MuddyWaterは、米国の当局によってイランのMOISに属すると公的に認定されており、中東を含む政府や重要セクターを標的とする広範なキャンペーンを展開しています。
Void ManticoreとRhadamanthys
Void Manticoreは、アルバニアやイスラエルを標的とするキャンペーンで「ハッカティブ」ブランドを使用しています。最近の研究では、Handalaパーソナリティが商用のRhadamanthys情報窃取マルウェアを使用していることが明らかになりました。
Rhadamanthysは、複雑なアーキテクチャ、積極的な開発、サービスベースの販売モデルにより、犯罪者と国家関連の攻撃者に共通のツールとして人気があります。
MuddyWaterとCastleLoader
MuddyWaterは、Tsundereボットネットと関連しています。このボットネットは、Node.jsとJavaScriptベースのプラットフォームで、必要に応じてDenoランタイムに切り替えることができます。
CastleLoaderは、マルウェア・アズ・ア・サービスフレームワークとして複数のアフィリエイトによってレンタルされています。MuddyWaterとCastleLoaderの間には、同じコード署名証明書が共有されていることが示されています。
イランのQilinアフィリエイト
2025年10月のイスラエルのシャミール医療センターへの攻撃は、国家と犯罪エコシステムの収束を示しています。
この攻撃は、Qilinランサムウェアインシデントとして最初にフレーミングされましたが、データ盗難、身代金要求、および限定的なメールと医療情報の漏洩が発生しました。
イスラエルの評価は、実際の攻撃者はイラン関連のオペレーターであり、Qilinのランサムウェア・アズ・ア・サービスのインフラストラクチャがイランの戦略的目標を達成するために使用されたことを示しています。
結論
これらのケースでは、MOIS関連の攻撃者、例えばVoid ManticoreやMuddyWaterは、サイバー犯罪が単なるカモフラージュから実際の作戦リソースへと進化したことが明らかです。
商用情報窃取マルウェア、共有ボットネット、マルウェア・アズ・ア・サービスプラットフォーム、ランサムウェア・アフィリエイトプログラムを通じた直接的な犯罪エコシステムとのエンゲージメントは、彼らのリーチを拡大し、能力開発を加速し、帰属を困難にします。
防御者は、国家と犯罪の脅威の間の伝統的な区別がますます曖昧になり、インフラストラクチャやツールの重複は、単純な帰属信号として扱うことができないと認識する必要があります。