サイバーセキュリティ研究者が、イランの継続的な反政府デモを支援する人々に対して情報窃取と長期スパイ活動を行う新たなキャンペーン「CRESCENTHARVEST」について詳細を公表しました。

概要

アカーニス脅威研究ユニット(TRU)は、1月9日以降に観測されたこの攻撃が、リモートアクセストロイアン(RAT)と情報窃取ツールを含む悪意のあるペイロードを配布するものであることを明らかにしました。

キャンペーンの詳細

「CRESCENTHARVEST」は、最近の地政学的開発を利用して、反政府デモに関連した画像やビデオと偽装された悪意のある.LNKファイルを用いて被害者を誘導します。これらのファイルには、本物のメディアとペルシャ語で書かれた報告書がバンドルされており、「イランの反乱都市からの更新」を提供しています。

このキャンペーンは、イランに連なる脅威グループによるものである可能性が高いとされています。

攻撃チェーン

• 攻撃の起点となるのは、イラン反政府デモに関連する情報を含むと偽装された悪意のあるRARアーカイブです。このアーカイブには、画像やビデオと共に二重拡張子を使用して偽装したWindowsショートカット(LNK)ファイルが含まれています。
• これらのファイルを起動すると、PowerShellコードが別のZIPアーカイブを取得し、同時に無害な画像またはビデオを開きます。これにより、被害者は無害なファイルと対話したと思い込ませます。

脅威の詳細

ZIPアーカイブには、Chromeのクリーンアップユーティリティとして配布されているGoogle署名のバイナリ（software_reporter_tool.exe）といくつかのDLLファイルが含まれています。この中には、脅威アクターの目的を達成するために実行される2つの不正ライブラリがあります。

• urtcbased140d_d.dll: C++インプラントで、Chromeのアプリバインド暗号キーを抽出し、デコードします。これはオープンソースプロジェクトであるChromElevatorと類似しています。
• version.dll (CRESCENTHARVEST): リモートアクセスツールで、インストールされたアンチウイルス製品やセキュリティツールを列挙し、ローカルユーザーのアカウント情報を取得します。ブラウザ資格情報、Telegramデスクトップアカウントデータ、キーストロークも収集します。

脅威の影響

「CRESCENTHARVEST」キャンペーンは、ジャーナリスト、活動家、研究者、そして世界各地の移民コミュニティを標的とする国家レベルのサイバースパイ活動の一環であるとアカーニスは述べています。

---

元記事: https://thehackernews.com/2026/02/crescentharvest-campaign-targets-iran.html