サイバーニュース.jp

世界のサイバーなニュースを配信

イランのサイバー脅威グループInfy、インターネット遮断後に活動再開とC2刷新

カテゴリ:

イランの脅威グループ「Infy」が活動再開、C2インフラを刷新

「Prince of Persia」としても知られるイランのサイバー脅威グループInfyは、その痕跡を隠すための戦術を進化させ、新たなコマンド&コントロール(C2)インフラを構築しました。これは、2026年1月初旬にイラン政府が課した全国的なインターネット遮断の終了と時期を同じくしています。

SafeBreachのセキュリティ研究担当副社長であるTomer Bar氏は、「我々が活動を監視し始めて以来、この脅威アクターがC2サーバーのメンテナンスを停止したのは1月8日が初めてでした」と報告しています。この日は、イラン当局が最近の抗議活動に対応して全国的なインターネット遮断を課した日であり、政府関連のサイバー部隊でさえイラン国内での悪意ある活動を行う能力や動機がなかった可能性を示唆しています。

インターネット遮断と同期する活動停止・再開

サイバーセキュリティ企業SafeBreachによると、2026年1月26日、イラン政府が国内のインターネット規制を緩和する前日に、ハッキング集団が新しいC2サーバーを設置し、活動を再開したことが確認されました。この動きは、この敵対者がイラン政府に支援された国家支援型であるという具体的な証拠を提供する点で特に重要です。Infyは、イランから活動する多くの国家支援型ハッキンググループの一つであり、テヘランの戦略的利益に沿ったスパイ活動、破壊活動、影響力工作を行っています。

高度化するC2メカニズムと新マルウェア「Tornado」

Infyは2004年以来、個人の情報収集を目的とした「レーザーフォーカス」攻撃を通じて、目立たずに活動してきた古く、あまり知られていないグループの一つです。2025年12月に発表されたSafeBreachのレポートでは、FoudreTonnerreのアップデート版(後者はTelegramボットを使用)を含む、脅威アクターに関連する新しい手口が明らかにされました。最新バージョンのTonnerre(バージョン50)は「Tornado」とコードネームが付けられています。

2025年12月19日から2026年2月3日までの脅威アクターの活動の継続的な可視化により、攻撃者がFoudreとTonnerreのすべてのバージョンでC2インフラを置き換え、さらにHTTPとTelegramの両方をC2に使用するTornadoバージョン51を導入したことが判明しました。「これは、C2ドメイン名を生成するための2つの異なる方法を使用します。まず、新しいDGAアルゴリズム、次にブロックチェーンデータの難読化を使用する固定名です」とBar氏は述べています。「これは、Tornadoバージョンを更新することなく、C2ドメイン名の登録により大きな柔軟性を提供する目的で使用されていると我々が想定するユニークなアプローチです。」

WinRARの脆弱性を悪用した感染手法

InfyがWinRARの1-day脆弱性(CVE-2025-8088またはCVE-2025-6218)を武器化し、侵害されたホスト上でTornadoペイロードを展開している兆候も見られます。この攻撃ベクトルの変更は、キャンペーンの成功率を高めるための手段と見なされています。特に作成されたRARアーカイブは、2025年12月中旬にドイツとインドからVirusTotalプラットフォームにアップロードされており、これら2カ国が標的とされた可能性が示唆されています。

RARファイル内には、以下のファイルを含む自己解凍アーカイブ(SFX)が含まれています。

  • AuthFWSnapin.dll:主要なTornadoバージョン51のDLL
  • reg7989.dll:インストーラーであり、まずAvastアンチウイルスソフトウェアがインストールされていないかを確認し、インストールされていない場合は永続化のためのスケジュールタスクを作成し、Tornado DLLを実行します。

Telegramを介したコマンド&コントロールとデータ窃取

TornadoはHTTP経由でC2サーバーと通信し、主要なバックドアをダウンロードして実行し、システム情報を収集します。TelegramがC2方法として選択された場合、TornadoはボットAPIを使用してシステムデータを外部に送信し、さらなるコマンドを受信します。

マルウェアのバージョン50では、「سرافراز」(誇り高き)と名付けられたTelegramグループが使用され、これにはTelegramボット「@ttestro1bot」とユーザー「@ehsan8999100」が含まれていました。最新バージョンでは、後者の代わりに「@Ehsan66442」という別のユーザーが追加されています。

「ZZ Stealer」による情報窃取と関連キャンペーン

SafeBreachはプライベートなTelegramグループ内のすべてのメッセージを抽出することに成功し、2025年2月16日以降に外部に流出したFoudreおよびTonnerreのファイル、合計118ファイルと14の共有リンク(脅威アクターからTonnerreに送信されたエンコードされたコマンドを含む)にアクセスできるようになりました。このデータの分析により、2つの重要な発見がありました。

  • 悪意のあるZIPファイルがZZ Stealerをドロップし、これはカスタム版のStormKitty情報窃取型マルウェアをロードします。
  • ZZ Stealerの攻撃チェーンと、Python Package Index(PyPI)リポジトリを標的としたキャンペーン(「testfiwldsd21233s」というパッケージを使用し、以前のZZ StealerをドロップしてTelegramボットAPI経由でデータを外部に送信するように設計されている)との間に「非常に強い相関関係」が見られました。
  • ZIPファイルとWindows Shortcut(LNK)ファイル、およびPowerShellローダー技術の使用により、InfyとCharming Kitten(Educated Manticoreとしても知られる)との間に「弱いながらも潜在的な相関関係」がある可能性が示されました。

「ZZ Stealerは、まず環境データ、スクリーンショットを収集し、すべてのデスクトップファイルを外部に送信する初期段階のマルウェア(Foudreと同様)であるようです」とSafeBreachは説明しています。「さらに、C2サーバーからコマンド『8==3』を受信すると、脅威アクターによって『8==3』と名付けられた第2段階のマルウェアをダウンロードして実行します。」

元記事: https://thehackernews.com/2026/02/infy-hackers-resume-operations-with-new.html

投稿をさらに読み込む