Dust Specter Targets Iraqi Officials with New SPLITDROP and GHOSTFORM Malware

概要

Zscaler ThreatLabzは、2026年1月に観察された攻撃を追跡し、その背後にあるとされる脅威アクターをDust Specterと名付けました。このアクターは、イランとの関連性が疑われる脅威アクターで、イラクの政府関係者を標的とした攻撃を展開しています。

Dust Specterは、イラクの外務省を装って、政府関係者に未見のマルウェアを配布するキャンペーンを実施しています。このキャンペーンは、SPLITDROP、TWINTASK、TWINTALK、およびGHOSTFORMという名前の4つのマルウェアを使用しています。

攻撃は2つの異なる感染チェーンで展開され、それぞれが独自のマルウェアをデプロイします。

最初の攻撃チェーン：
- パスワード保護されたRARアーカイブを介して開始。
- SPLITDROPと呼ばれる.NETドロッパーが含まれています。
- このドロッパーは、TWINTASKとTWINTALKという2つのモジュールを配布します。
- TWINTASKは、Windowsレジストリを変更して持続性を確立します。
- TWINTALKは、C2サーバーから新しいコマンドを取得し、結果をサーバーにエクスフィレートします。
第二の攻撃チェーン：
- GHOSTFORMと呼ばれる単一のバイナリを使用。
- このバイナリは、TWINTASKとTWINTALKの機能を統合しています。
- ファイルベースのポーリングメカニズムを使用してコードを実行します。
- Google FormsのURLをハードコーディングし、システムのデフォルトブラウザで自動的に開きます。

攻撃者は、C2サーバーとの通信に地図フェンシング技術とUser-Agent検証を使用しています。また、過去のキャンペーンで使用されたC2ドメインが再利用されています。

このキャンペーンは、ClickFixスタイルの社会工学的手法と生成AIの使用という広範なトレンドを反映しています。Zscalerは、このキャンペーンが中程度から高い確信を持ってDust Specterに帰属すると述べています。

元記事: https://thehackernews.com/2026/03/dust-specter-targets-iraqi-officials.html