はじめに:APT35データ流出の概要
2025年10月、イラン国家支援型ハッカー集団であるAPT35(別名Charming Kitten)の内部運用文書が大量に流出しました。この流出により、同グループが官僚的でクォータ駆動型のサイバースパイ組織であり、階層的な指揮系統、パフォーマンス指標、専門化された攻撃チームを持つことが明らかになりました。イスラム革命防衛隊情報機関(IRGC IO)の関連組織であるAPT35が、中東およびアジア全域の外交、政府、企業を標的とした形式化された情報収集機関として機能している実態が、これまでにない形で露呈しました。
組織構造と運用
流出した文書によると、APT35は単なる緩やかなハッキング集団ではなく、軍事化された情報機関として機能しています。中堅のコーディネーターであるManouchehr Vosoughi Niriが、パフォーマンス追跡と運用監視を担当しています。Reza、Kianなどのオペレーターは、正式な役職を持つ給与所得者であり、月次パフォーマンスレポートを通じてその業務が監視されています。このレポートには、完了したタスク、資格情報取得数、フィッシング成功率、メールボックス滞留時間などのKPI(主要業績評価指標)が含まれます。
グループは以下の専門チームを展開しています:
- エクスプロイト開発ユニット:Ivanti、Exchange/ProxyShellの脆弱性を悪用。
- 資格情報・アクセスチーム:LSASSダンプ、トークンリプレイ攻撃を実行。
- フィッシングユニット:HERV(Human Engineering and Remote Validation)キャンペーンを実施。
- リアルタイム監視チーム:メールボックスの継続的な監視を担当。
これらの活動はDTI証拠リポジトリで相互参照され、脆弱性調査から悪用までの一連の証拠連鎖が生成されます。バッジによる入退室記録は、オペレーターが安全なオンプレミス施設で作業していることを裏付けており、これは集中化された運用を強化し、チーム間の同期したキャンペーン実行を保証しています。
攻撃手法と戦術
APT35の運用ワークフローは、大量の情報収集のために設計された体系的で再現性のあるサイクルに従っています。グループは二重モードの偵察を実施し、広範なインターネットスキャンで脆弱なインフラを特定し、手動で外交、政府、通信事業者に焦点を当てた優先ターゲットリストを作成します。
主要なエクスプロイトベクトルはMicrosoft Exchangeインフラに集中しています。ProxyShell、Autodiscover、Exchange Web Services (EWS) を悪用して初期アクセスを獲得し、その後ASPXウェブシェルを展開して永続化を図ります。内部侵入後、オペレーターはグローバルアドレスリスト(GAL)を抽出し、プレーンテキストの資格情報を収集します。これらは情報としても、運用インフラとしても利用されます。
永続化は、脆弱なウェブシェルではなく資格情報ベースのメカニズムに依存しています。グループは、LSASSダンプ(Mimikatz形式のユーティリティで処理)とトークンリプレイ攻撃を通じて資格情報を収集し、初期アクセスを標準的な修復策に耐性のある持続的な足がかりに変換します。Abbas Rahroviは、IRGC-IOサイバーコマンドの幹部として特定されており、進行中の作戦の管理カバーを提供するフロント企業のネットワークを監督しています。
ポストエクスプロイトツールには、カスタムの.NETウェブシェル、Pythonパーサー、およびProgramDataディレクトリ内に難読化されたシステムサービス名で展開される修正されたビーコン型インプラントが含まれており、WMICと管理共有プロトコルを使用して手動での攻撃者の制御と横方向の移動を可能にしています。
標的と地理的範囲
運用文書の分析は、APT35が機会主義的な侵害ではなく、戦略的で地域全体にわたる標的設定を行っていることを示しています。主要な地理的範囲は以下の国々です。
- トルコ
- 北キプロス・トルコ共和国
- レバノン
- クウェート
- サウジアラビア
- ヨルダン
- 韓国
- イラン国内
高価値の収集ポイントには、外務省、通信事業者、エネルギープロバイダー、税関当局、マネージドサービスプロバイダーが含まれます。文書化された標的には、Türk Telekom(212.175.168.58)、サウジアラビアのNour Communication Co. Ltd、クウェートのFast Communication Company Ltd、および韓国のインフラ事業者があります。
各地域は、イランの情報優先順位に合わせたカスタマイズされたタスクに直面しています。例えば、トルコの標的からはNATOおよび地域の政治的情報が得られ、サウジアラビアの作戦はGCC(湾岸協力会議)の調整とエネルギー政策を標的とし、韓国からの侵害は技術および防衛情報の収集を支援します。
官僚的な情報収集機構
流出した資料は、大規模な資格情報取得と持続的なアクセスに最適化された、成熟したオペレーター主導の侵入ツールキットを文書化しています。収集された連絡先は、その後のHERVフィッシングキャンペーンの種となり、偵察、悪用、ソーシャルエンジニアリングが継続的に互いを強化し合う自己維持型の収集サイクルを生み出しています。
グループは、コマンドインジェクションがHTTPヘッダー(特にAccept-Languageフィールド)に埋め込まれ、静的なトークンフィンガープリントが運用上のハンドシェイクを提供する暗号化されたチャネルを使用して、堅牢なC2インフラを維持しています。データ流出チャネルは、クラウドプロバイダー(Mega、Dropbox、ProtonDrive)への暗号化されたステージング、侵害されたExchangeシステムを介したSMTPリレー、およびDNSトンネリングを介した秘密通信を採用しています。
おそらく最も明らかになったのは、月次パフォーマンスレビューと監督者の注釈に組み込まれた、形式化されたクォータ制の運用文化です。オペレーターは、労働時間、完了したタスク、フィッシング成功率、悪用指標を列挙するKPIレポートを日常的に提出しています。この「指標 obsesive」なアプローチは、サイバー作戦を測定可能な生産ラインに変え、量と速度を優先する動態を生み出しており、これは防御側が利用できる予測可能な行動パターンを生み出します。また、オペレーターが2023年に開催された「イスラエル:脆弱な鏡」と題されたイデオロギーイベントに出席していたことも明らかになっています。
防御側への提言
この情報機関の露出は、防御側にとって緊急の運用上の課題をもたらします。組織は以下の対策を優先すべきです。
- Exchangeインフラの強化:強化されたログ記録の実装。
- フィッシング耐性のある多要素認証の実施:FIDO2のような認証方法の導入。
- 検出ルールの展開:スキャンパターン、トークンリプレイ行動、異常なメールボックスアクセスを標的とする。
ハンティングの取り組みは、以下のような特性的なアーティファクトに焦点を当てるべきです。
- 予測可能なパスにあるASPXウェブシェル。
- ProgramDataディレクトリ内のサービス偽装。
- オペレーターコマンドを埋め込んだ疑わしいAccept-Language HTTPヘッダー。