ロシアの「Calisto」ハッカー集団がNATO研究機関を標的に:高度なフィッシングと「ClickFix」マルウェア
ロシアの諜報機関と関連があるとされるサイバー脅威アクター「Calisto」は、NATOの研究機関、西側の防衛請負業者、そしてウクライナを支援するNGOに対する活動を強化しています。彼らは、巧妙なフィッシングと認証情報窃取技術を駆使しています。ロシア連邦保安庁(FSB)の情報セキュリティセンター18(TsIB)に起因するとされるCalisto(別名ColdRiverまたはStar Blizzard)は、2025年を通じて「ClickFix」という悪意のあるコード技術を利用したスピアフィッシングキャンペーンを拡大し、ヨーロッパ内外の重要組織を標的としています。
Calistoグループの背景と攻撃対象
Calistoグループは、少なくとも2017年4月からサイバースパイ活動を行っており、そのキャンペーンはますます高度化しています。彼らは軍事および戦略的研究分野、特にNATO関連機関、ウクライナの防衛請負業者、NGO、シンクタンク、そしてロシア情勢に精通した個人を標的にしています。この攻撃グループの活動は、ロシアの戦略的利益、特にウクライナ支援活動や諜報インフラに関わる組織に一貫して合致しています。
巧妙なフィッシング手法:RSFへの攻撃事例
2025年5月から6月にかけて、セキュリティアナリストは、著名なフランスのNGO「国境なき記者団(RSF)」を含む複数の組織から、Calistoに起因する疑わしいスピアフィッシングの試みについて連絡を受けました。迫害から逃れてきたロシアのジャーナリストに重要な支援を提供してきたRSFは、この脅威アクターの情報収集活動の焦点となりました。RSFを標的にしたことは、Calistoグループの攻撃対象が著しく拡大したことを示しており、国際的な報道の自由を擁護する活動を抑制しようとするロシアの広範な取り組みを反映しています。
Calistoが採用するフィッシング手法は、かなりの巧妙さとソーシャルエンジニアリングの洗練さを示しています。彼らは信頼できる連絡先を装ったProtonMailアドレスを悪用し、文書の確認を求める連絡を取りながら、意図的に添付ファイルを送付しません。被害者が不足しているファイルを要求すると、脅威アクターは正当なPDF文書を装った悪意のあるペイロードで応答します。脅威アクターは、正規のUrchin Tracking Module(UTM)分析パラメータを模倣したGETパラメータで設定されたPHPスクリプトを使用し、JavaScriptリダイレクトによってフィッシングチェーンを隠蔽します。この多段階アプローチは、マルウェアを配布したり認証情報を窃取したりする前に、一見本物のようなやり取りを作り出すことで信頼性を高めます。
特に注目すべき事例として、RSFの職員が信頼できる連絡先の署名が適切にフォーマットされたフランス語の欺瞞的な電子メールを受信したケースがあります。このメールには、後続の返信を誘発するための機能しないリンクが含まれていました。要求に応じて、攻撃者は悪意のあるコンテンツをホストするProtonDriveのURLにリダイレクトするリンクを含む2通目のメールを送信しました。別の文書化された事例では、攻撃者は.pdf拡張子で偽装されたZIPアーカイブを展開し、ペイロードの悪意のある性質をさらに隠蔽しました。
技術的な手口:AiTM攻撃と認証情報の窃取
回収されたフィッシングキットの技術分析により、ProtonMailアカウントを明確に標的とする自家製インフラストラクチャが明らかになりました。このキットは、ProtonMailのサインインページに悪意のあるJavaScriptを注入しながら視覚的な真正性を維持する、中間者攻撃(AiTM)技術を採用しています。悪意のあるコードは、被害者に250ミリ秒ごとにパスワードフィールドにフォーカスさせ、攻撃者が制御するAPIと通信して認証情報を傍受し、二要素認証コードを中継します。認証情報の窃取に成功した後、アナリストが制御するシステムは、Big Mama Proxyサービスに関連付けられていると特定されたIPアドレス196.44.117.196からのアクセスを記録しました。
インフラストラクチャ分析は、Calistoがリダイレクターとして侵害されたウェブサイトに依存していることを示しており、これは情報窃取型マルウェアによって漏洩した認証情報を通じて侵害された可能性が高いです。ドメイン登録パターンは、RegwayからNamecheapのDNSインフラストラクチャへの移行を示しており、Calistoの活動にドメインを関連付ける中程度の確信度の指標を提供します。
継続する脅威と警戒の呼びかけ
Calistoの戦術と技術に関する広範な公開文書があるにもかかわらず、このグループは洗練されたソーシャルエンジニアリングと認証情報窃取活動でウクライナの支持者を標的にし続けています。ウクライナの擁護活動、防衛研究、または同地域を支援する人道支援活動に関わる組織は、この執拗な脅威アクターからの高いリスクに直面しています。