APT35:ハッカー集団から政府部門へ
かつては「騒がしいが比較的洗練されていない脅威アクター」と見なされていたイランのサイバー部隊Charming Kitten(APT35)に対する評価が、最新のインテリジェンスダンプ「Episode 4」によって根本的に書き換えられました。この情報漏洩により、APT35が単なるハッカー集団ではなく、経費報告書、請求書、調達手続きを備えた政府部門として機能している実態が明らかになりました。流出したファイルは、イランのサイバー作戦を支える官僚機構を露呈しており、ホスティングプロバイダーや請求書番号を記録したスプレッドシート、Cryptomusを介して処理された暗号通貨の領収書、そして偽のヨーロッパの身元を用いたサーバーレンタルなどが含まれています。
3つのファイルからなる作戦基盤
流出したデータセットは、オペレーションのバックボーンとして機能する3つの相互接続されたスプレッドシートで構成されています。
- 0-SERVICE-Service.csv: 約170行からなり、ドメインをレジストラに紐付け、50以上のProtonMail IDと80以上のクリアテキスト認証情報ペアが含まれています。EDIS (VPS)、NameSilo (ドメイン)、Impreza (VPS)などのプロバイダーが頻繁に登場し、価格設定やライフサイクルに関するメモも記載されています。
- 0-SERVICE-payment BTC.csv: 2023年10月から2024年12月までの55件の暗号通貨取引を記録しており、合計約1,225ドル、平均56ドルの支出となっています。32以上のユニークなBitcoinアドレスがウォレットフィールドに存在し、多くはサービスシートのエントリと一致する内部サービス番号を参照しています。これにより、要求、支払い、アクティベーションをリンクする検証可能な監査証跡が作成されています。
- 1-NET-Sheet1.csv: ネットワークアドレス(IP範囲とCIDR割り当て)で運用ループを完結させ、ペルシャ語で注釈された接続メモとロケーションマーカーが含まれています。これらのエントリは、プロバイダーのダッシュボードで観察されたライブインフラストラクチャに対応しており、請求書の匿名顧客IDやサービスSKUと一致しています。
工業化されたプロセスと運用セキュリティの失敗
流出した資料は、APT35が即興ではなく、標準化されたワークフローを通じて運用していることを示しています。ドメイン登録、VPS調達、認証情報の記録、支払い照合は、一貫した手続き的振り付けに従っています。複数のエイリアスと期間にわたって、同じホスティングティア、ベンダー、価格帯、暗号通貨支払いレールが正確に繰り返されています。この一貫性は、レジリエンスと管理上の継続性のために設計された工業化されたプロセスを示しています。
しかし、最も致命的な点は、侵害後のAPT35が基本的な運用セキュリティを実行できなかったことです。侵害されたインフラストラクチャは数週間にわたってアクセス可能であり、ライブサーバー、ホスティング認証情報、支払いゲートウェイへのアクセスは保護されないままでした。この官僚的な正確さと運用セキュリティの失敗との間のギャップは、Charming Kittenの活動の中心にあるパラドックス(綿密な管理と運用上の不注意)を浮き彫りにしています。
Moses Staffとの関連性
サービス台帳の中に、驚くべきエントリー「moses-staff[.]io」が発見されました。この発見は、APT35が、イスラエル組織を標的とするイデオロギー的ハクティビスト集団として描かれていたMoses Staffを支えるインフラストラクチャを運営していたことを示唆しています。重複するProtonMailアカウント、レジストラ、支払いインフラストラクチャは、Moses Staffの独立したように見えたランサムウェアキャンペーンが、実際にはAPT35の調達ワークフローの産物であり、同じ官僚的な体制内の内部チケット番号が割り当てられた異なる「プロジェクト」であったことを明らかにしています。
サイバーパワーの真の基盤
「Episode 4」のファイルは、テヘランのサイバー作戦がサブスクリプションサービスとして機能していることを露呈しています。数十のウォレットに分散され、キプロスに拠点を置く再販業者を介してルーティングされる少額の暗号通貨マイクロペイメントは、コンプライアンス検出を回避しながら、永続的なインフラストラクチャを維持しています。このアプローチは、イランが制裁回避で経験した広範な経験を反映しており、支出を小規模で分散された取引に分割することで、金融追跡を妨害し、運用継続性を維持しています。
これらの情報漏洩が最終的に示すのは、国家が支援するサイバーパワーが技術革新ではなく、制度的な永続性に基づいているということです。すべての悪用されたシステムの背後には購入注文があり、すべてのキャンペーンの背後には経理担当者がいます。マルウェアではなく、スプレッドシートこそが、イランのサイバー作戦を運用可能にしているのです。