概要:新たな脅威アクター「UNK_SmudgedSerpent」の出現
Proofpoint脅威リサーチは、2025年6月から8月にかけて、学者や外交政策専門家を標的とした高度なフィッシングキャンペーンを実施した、これまで知られていなかったイランの脅威アクター「UNK_SmudgedSerpent」を特定しました。このグループは、認証情報窃取技術、巧妙なソーシャルエンジニアリング、およびリモート管理ツール(RMM)を駆使して標的に侵入しており、既存のイラン系脅威グループを彷彿とさせる複雑な戦術の重複が明らかになっています。
このキャンペーンは2025年6月に始まり、Proofpointの研究者が、米国のシンクタンクの20人以上のメンバーに、イランの経済的不確実性や政治的混乱について議論する無害なメールが送られていることを発見しました。脅威アクターは、ブルッキングス研究所の外交政策プログラム担当副所長であるスザンヌ・マロニー氏になりすまし、意図的にスペルを間違えた「Suzzane Maloney」というGmailアドレスを使用していました。
巧妙なソーシャルエンジニアリングと感染経路
感染経路は、高度な運用技術を示していました。イランの政策協力に関する無害な会話で最初の接触を確立した後、攻撃者は認証情報の確認を要求し、米国を拠点とするアナリストを標的にしているにもかかわらず、イスラエルのタイムゾーンを使用して会議をスケジュールしました。その後、攻撃者はOnlyOfficeのリンクを装ったURLを送信しましたが、実際にはthebesthomehealth.comやmosaichealthsolutions.comといった健康関連の攻撃者ドメインにリダイレクトされました。これらのドメインは、事前にユーザー情報が読み込まれたカスタマイズされた認証情報窃取ページをホストしており、侵害の成功確率を高めていました。
標的が認証情報窃取ページに不審を抱くと、UNK_SmudgedSerpentは迅速に適応し、パスワード要件を削除し、偽装されたOnlyOfficeログインページに移行しました。その後、攻撃者は、正当なリモート監視・管理(RMM)ツールであるPDQConnectをロードするMicrosoft Installer(MSI)ファイルを含む悪意のあるアーカイブをホストしました。その後のハンズオンキーボード活動では、2番目のRMMプラットフォームであるISL Onlineが展開され、最初の侵害試行が失敗した後の冗長性または緊急時対応計画を示唆しています。
戦術の重複と帰属の課題
調査により、3つの確立されたイラン系脅威グループ(TA453 (Charming Kitten)、TA455 (C5 Agent)、TA450 (MuddyWater))との戦術の重複が明らかになりました。これらの重複は、明確な帰属を妨げましたが、潜在的な運用上のつながりを示唆しています。
- メール内のURLはOnlyOfficeのリンクを装っていましたが、実際には健康関連の攻撃者ドメインthebesthomehealth[.]comにハイパーリンクされており、そこからMicrosoft 365のログインページを表示する2番目の健康関連の攻撃者ドメインmosaichealthsolutions[.]comにリダイレクトされました。
- カスタマイズされたMicrosoft認証情報窃取ページが使用されました。
UNK_SmudgedSerpentの政策専門家を標的とし、無害な会話で接触を開始するアプローチはTA453の手法と一致し、健康関連のドメインとOnlyOfficeインフラストラクチャの使用はTA455の運用に類似していました。しかし、RMMツールの展開はTA450の文書化された戦術と一致しており、国家支援型アクターの間ではRMMの使用が依然として稀であるため、特に重要です。
イラン専門家への継続的な標的化
最初のブルッキングス研究所のキャンペーンを超えて、UNK_SmudgedSerpentはイランの政策専門知識への継続的な関心を示しました。グループは、スザンヌ・マロニー博士(正しくスペルされたもの)やワシントン研究所のディレクターであるパトリック・クローソン氏を含む追加のペルソナを偽装し、イスラエルとのつながりを持つ米国を拠点とする学者を標的にしました。2025年8月には、攻撃者はイランのラテンアメリカでの活動に関する協力を求める方向に転換し、GmailとOutlookの両方で偽装されたパトリック・クローソン氏のアカウントを再び使用しました。
このキャンペーンの散発的ではあるが意図的な標的化パターンは、イラン政府の活動、軍事作戦、地域的影響力に関する外国の視点を理解することへの組織的な関心を示唆しています。2025年8月以降、UNK_SmudgedSerpentの活動は検出されていませんが、研究者らは関連する活動が継続している可能性が高いと考えています。Proofpointの調査結果は、イランのサイバー作戦の進化する洗練度と、イラン政府の意図と能力を分析する政策専門家への執拗な標的化を浮き彫りにしています。このエコシステムにおける帰属の複雑さは、イラン政府のより広範な情報収集の優先順位と、国家支援の下で活動する脅威グループ間の潜在的な再編成または請負業者の交換を反映しています。