概要:人権活動家を狙うRedKittenキャンペーン
イラン国家の利益に連携するファルシー語話者の脅威アクターが、最近の人権侵害を記録する非政府組織(NGO)や個人を標的とした新たなサイバーキャンペーンを展開していることが明らかになりました。セキュリティ企業HarfangLabが2026年1月に観測し、「RedKitten」と名付けたこの活動は、2025年末に始まったイラン国内の政情不安と時期を同じくしています。このマルウェアは、設定ファイルやモジュール型ペイロードの取得にGitHubとGoogle Driveを、コマンド&コントロール(C2)にはTelegramを利用していることが特徴です。
特に注目すべきは、この脅威アクターが大規模言語モデル(LLM)を悪用して必要なツールを構築・調整している可能性が高い点です。
攻撃手法:LLMが生成したExcelマクロとSloppyMIO
攻撃の出発点は、ファルシー語のファイル名を持つ7-Zipアーカイブで、これにはマクロが仕込まれたMicrosoft Excelドキュメント(XLSM形式)が含まれています。これらのXLSMスプレッドシートは、「2025年12月22日から2026年1月20日までにテヘランで死亡した抗議者の詳細」を装っています。しかし、その内部には悪意のあるVBAマクロが埋め込まれており、有効化されるとAppDomainManagerインジェクションという手法を用いてC#ベースのインプラント(「AppVStreamingUX_Multi_User.dll」)のドロッパーとして機能します。
このVBAマクロ自体にも、LLMによって生成された兆候が見られます。HarfangLabは、その「VBAコードの全体的なスタイル、使用されている変数名やメソッド」、そして「PART 5: Report the result and schedule if successful.」といったコメントの存在を指摘しています。この攻撃は、行方不明者の情報を求める人々の精神的な苦痛を利用し、偽りの緊急性を誘発して感染チェーンを活性化させることを意図していると見られます。スプレッドシート内のデータ(年齢と生年月日の不一致など)の分析から、内容は偽造されたものであることが示唆されています。
SloppyMIOバックドアの詳細
「SloppyMIO」と名付けられたこのバックドアは、GitHubをデッドドロップリゾルバーとして利用し、Google DriveのURLを取得します。そのURLからホストされている画像から、設定情報(Telegramボットトークン、TelegramチャットID、各種モジュールへのリンクなど)がステガノグラフィによって隠蔽されて取得されます。
このマルウェアは以下の5種類のモジュールをサポートしています:
- cm:`cmd.exe` を使用してコマンドを実行します。
- do:侵害されたホスト上のファイルを収集し、Telegram APIのファイルサイズ制限内に収まる各ファイルに対してZIPアーカイブを作成します。
- up:Telegram API経由で取得した画像内にエンコードされたファイルデータを使用して、`%LOCALAPPDATA%\Microsoft\CLR_v4.0_32\NativeImages\` にファイルを書き込みます。
- pr:永続化のために、2時間ごとに実行されるスケジュールタスクを作成します。
- ra:プロセスを開始します。
さらに、このマルウェアはC2サーバーに接続して、設定されたTelegramチャットIDにビーコンを送信し、追加の指示を受信したり、結果をオペレーターに送り返したりする機能も備えています。具体的なコマンドとしては、`download`(`do`モジュールを実行)、`cmd`(`cm`モジュールを実行)、`runapp`(プロセスを起動)などがあります。
HarfangLabは、「このマルウェアは、リモートストレージから複数のモジュールを取得・キャッシュし、任意のコマンドを実行し、ファイルを収集・持ち出し、スケジュールタスクを介して永続化機能を備えたさらなるマルウェアをデプロイすることができます」と述べています。「SloppyMIOは、Telegram Bot APIをC2として利用し、ステータスメッセージをビーコンし、コマンドをポーリングし、持ち出したファイルを指定されたオペレーターに送信します。」
アトリビューションと脅威の進化
このキャンペーンがイラン系アクターに関連していると判断される根拠は、ファルシー語のアーティファクト、ルアーのテーマ、そして過去のキャンペーン(TortoiseshellグループによるIMAPLoaderデリバリーなど)との戦術的な類似性に基づいています。脅威アクターがGitHubをデッドドロップリゾルバーとして選択するのも前例がないわけではありません。2022年後半には、Nemesis Kittenと呼ばれるイラン国家系グループのサブクラスターが、GitHubを介してDrokbkバックドアを配信したキャンペーンがSecureworksによって詳細に報告されています。
さらに、敵対者による人工知能(AI)ツールの採用の増加が事態を複雑にしています。これにより、防御側が異なるアクターを区別することがより困難になっています。HarfangLabは、「脅威アクターがコモディティ化されたインフラストラクチャ(GitHub、Google Drive、Telegram)に依存していることは、従来のインフラベースの追跡を妨げるものの、逆説的に有用なメタデータを露呈させ、脅威アクターに運用上のセキュリティ上の課題を提起します」と述べています。
関連するWhatsAppフィッシングキャンペーン
この開発は、英国を拠点とするイラン人活動家で独立系サイバースパイ調査員のNariman Gharib氏が、WhatsAppを介して拡散されているフィッシングリンク(「whatsapp-meeting.duckdns[.]org」)の詳細を明らかにした数週間後に明らかになりました。このリンクは、偽のWhatsApp Webログインページを表示することで、被害者の認証情報を奪取します。「このページは、`/api/p/{victim_id}/` を介して1秒ごとに攻撃者のサーバーをポーリングします」とGharib氏は説明しています。「これにより、攻撃者は自分のWhatsApp WebセッションからライブQRコードを被害者に直接提供できます。ターゲットが『会議に参加している』と思い込んで携帯電話でスキャンすると、実際には攻撃者のブラウザセッションを認証することになります。攻撃者は被害者のWhatsAppアカウントへのフルアクセスを得ます。」
このフィッシングページは、デバイスのカメラ、マイク、位置情報へのブラウザ権限を要求するようにも設計されており、事実上、被害者の写真、音声、現在地をキャプチャできる監視キットに変貌します。現時点では、このキャンペーンの背後に誰がいるのか、その動機は何だったのかは不明です。TechCrunchのZack Whittaker氏が活動に関するさらなる詳細を明らかにしたところによると、これは偽のGmailログインページを表示してGmailの認証情報(パスワードと二要素認証コード)を盗むことも目的としており、約50人が影響を受けていることが判明しています。これには、クルド人コミュニティの一般市民、学者、政府関係者、ビジネスリーダーなどが含まれます。
これらの発見は、イランのハッキンググループCharming Kittenが大規模な情報漏洩に見舞われ、その内部構造、組織体制、主要な関係者が暴露された直後に行われました。この漏洩により、イスラム革命防衛隊(IRGC)に関連する異なる部門によって収集されたデータを集約し、イラン市民や外国人を追跡するための監視プラットフォーム「Kashef」(別名DiscovererまたはRevealer)についても明らかになりました。
2025年10月には、Gharib氏がRavin Academyに登録した1,051人の個人を含むデータベースも公開しています。Ravin Academyは、イラン情報保安省(MOIS)の工作員2人によって設立されたサイバーセキュリティ学校で、MOISの運用を支援したとして2022年10月に米国財務省から制裁を受けています。
元記事: https://thehackernews.com/2026/01/iran-linked-redkitten-cyber-campaign.html