新たな脅威「Punishing Owl」
サイバーセキュリティ研究者らによって、新たな政治的動機を持つハクティビスト集団と見なされている「Punishing Owl」を名乗る正体不明の脅威アクターが、ロシア政府の治安機関への侵入に関与したと主張しました。この攻撃は、一般的なデータ窃取キャンペーンを超える高度な運用セキュリティ能力を示しています。
侵入発表と同じ日、「Punishing Owl」は被害者のDNSインフラへの管理者アクセスを利用し、ユーザーをブラジルでホストされている攻撃者管理下のサーバーにリダイレクトするサブドメインを作成しました。グループは正規に見えるTLS証明書を設定し、これらのサーバー上にIMAPおよびSMTPサービスを確立することで、認証情報窃取とさらなるソーシャルエンジニアリングを容易にするため、被害者インフラの説得力のあるレプリカを作成しました。
2025年12月12日、このグループは侵入の証拠を公開しました。これには、DLSウェブサイトでホストされ、Mega.nzリポジトリ全体に複製された盗まれた内部文書が含まれています。金曜日の午後6時37分という開示のタイミングは、ロシアの治安機関からの対応時間を最小限に抑え、侵害の公共への可視性を最大化するために戦略的に選ばれたものと見られます。
二次攻撃キャンペーン
最初の発表に続いて数日後、「Punishing Owl」は被害者のビジネスパートナーや契約業者を標的とした組織的な電子メールキャンペーンを開始しました。このグループ、そして後には被害者の従業員を装った電子メールは、同じブラジルのインフラから送信され、受信者を変更されたDNSレコードに誘導し、パスワードで保護されたアーカイブを開くよう促しました。
これらの悪意のあるZIPファイルには、二重拡張子による難読化を介してPDFを装ったLNKファイルが含まれていました。実行されると、これらのファイルはPowerShellコマンドをトリガーし、「ZipWhisper」と呼ばれるカスタム情報窃取マルウェアをダウンロードしました。これはPowerShellで記述されており、ウェブブラウザのデータ、認証情報、キャッシュされた認証トークンを抽出するように設計されています。
この情報窃取マルウェアは、抽出したデータをZIPアーカイブにパッケージ化し、HTTP POSTリクエストを介してコマンド&コントロール(C2)サーバーにアップロードしました。グループのC2ドメインはbloggoversikten[.]com(82.221.100[.]40)であり、2015年まで合法的に運営され、2025年に再登録されるまで休眠状態にあったロシア語の技術ブログになりすましていました。情報窃取マルウェアのコード分析では、AI支援によるコード生成を示唆するタイムスタンプが明らかになり、このグループは広範なマルウェア開発の専門知識は不足しているものの、最新の開発ツールを活用する十分なリソースを持っていることが示唆されています。
帰属と被害者
「Punishing Owl」の標的は、ロシアの重要インフラに限定されており、確認されている被害者には政府機関、研究機関、IT組織が含まれています。
2025年12月には複数のソーシャルメディアおよびダークネット市場のアカウントが同時に登録されており、このグループが意図的にサイバー犯罪ブランドを確立していることが示唆されています。ジオロケーションデータはカザフスタンからのグループ管理を示していますが、これには独立した検証が必要です。セキュリティ研究者らは、「Punishing Owl」が地政学的な緊張の高まりの中で出現する、政治的動機を持つハクティビスト集団の広範なトレンドを代表していると評価しています。
このグループの洗練された運用技術、カスタムマルウェア開発、および持続的なインフラ投資は、このキャンペーンが単なる一時的な宣伝行為を超えたものであることを示唆しています。ロシアの脅威ランドスケープで活動する組織にとって、このグループの活動を継続的に監視することが不可欠です。
侵害の痕跡 (Indicators of Compromise)
以下は、「Punishing Owl」に関連する主な侵害の痕跡(IOC)の一部です。
- ZIPアーカイブ:
94b93f4540f01956895a74d2c0b54e502f2be299e4d2ea0a3cc639619377f229(SHA256) - LNKローダー:
37f307b378c028afa67a236a05224e367ed486ab3ab2f7c3e13518d0823e137d(SHA256, LNK Loader #1)dfd49ea1911fb7e800440c82b6518828ec7fa7c595d7ea6baabec29e5d9cecec(SHA256, LNK Loader #2)
- ZipWhisper情報窃取マルウェア:
09636fbca343f268ee7c0c033e37a9b007fe40ce914c4273ed961d84b52bed17(SHA256, Styler #1)b1782f8f3440ce4b184f27c4047439aa998058ec17319a5b08031eda545d5a50(SHA256, Styler #2)f25506f5a7f3580edae159bbdbca3f8d17dfeeaadcc548c8202a764399550778(SHA256, Styler #3)6aa09062a755775e1b11dfd5fa80981fa50e1ecf4ba3f1ae41b2ed8b671e0f6a(SHA256, Styler #4)