イラン政府系ハッカー「RedKitten」が人権団体を標的に|巧妙なサイバー攻撃の手口を解説

雑記

2026年1月、イラン政府の利益に沿ったペルシャ語話者の脅威アクターによる新たなサイバー攻撃キャンペーンが確認されました。「RedKitten」と名付けられたこの攻撃は、人権侵害を記録するNGOや活動家を標的としており、2025年末から続くイランの社会不安と時期を同じくしています。セキュリティ企業HarfangLabの調査により、その巧妙な攻撃手法が明らかになりました。

この記事のポイント

  • イラン政府系脅威アクターがNGOや人権活動家を標的にした「RedKitten」キャンペーンを展開
  • マクロ付きExcelファイルを使った攻撃で、C#製バックドア「SloppyMIO」を配布
  • GitHubやGoogle Drive、Telegram Bot APIを悪用した巧妙なC2インフラを構築

攻撃の背景と標的

この攻撃キャンペーンは、2025年末にインフレや通貨問題をきっかけに始まったイラン国内の抗議活動と密接に関連しています。イラン政府はこの抗議活動に対し、インターネット遮断や厳しい弾圧で応じ、多数の犠牲者が出ています。

RedKittenの主な標的は、こうした人権侵害を記録・文書化しているNGO(非政府組織)や個人の活動家です。攻撃者は、被害者の感情に訴えかけるソーシャルエンジニアリング手法を用いており、抗議活動で亡くなった人々の情報を装ったファイルを餌として使用しています。

攻撃の手口

攻撃は7-Zip形式のアーカイブファイルから始まります。このアーカイブには、ペルシャ語のファイル名が付けられたマクロ有効のExcelスプレッドシートが含まれています。ファイルは2025年12月22日から2026年1月20日にかけての抗議活動で亡くなった人々の詳細情報を含むと偽装されています。

ユーザーがファイルを開きマクロを有効にすると、VBAマクロがドロッパーとして機能し、「AppDomainManager Injection」と呼ばれる技術を使って「SloppyMIO」というC#製バックドアを展開します。興味深いことに、このVBAコードには大規模言語モデル(LLM)によって生成された可能性を示す特徴が見られます。変数名やメソッド名のスタイル、構造化されたコメントなどがその証拠とされています。

SloppyMIOバックドアの機能

SloppyMIOは高度に設計されたバックドアで、正規のクラウドサービスを悪用したコマンド&コントロール(C2)インフラを構築しています。

C2インフラストラクチャ:
GitHub: デッドドロップリゾルバーとして機能し、C2サーバーのアドレスを動的に取得
Google Drive: ステガノグラフィ(画像に情報を隠す技術)を使用して設定情報を含む画像をホスト
Telegram Bot API: 主要なC2通信チャネルとして使用

主要なモジュール:
cm: cmd.exeを通じたコマンド実行
do: ファイルの収集・圧縮・窃取
up: CLRディレクトリへのファイル書き込み
pr: スケジュールタスクによる永続化の確立
ra: プロセスの起動

このマルウェアは定期的にステータスメッセージを送信し、コマンドをポーリングし、Telegramを通じてデータを窃取します。また、リモートストレージから追加のモジュールを取得し、永続化メカニズムを持つ追加のマルウェアを展開する能力も持っています。

並行するフィッシングキャンペーン

RedKittenと並行して、中東地域のWhatsAppやGmailユーザーを標的としたフィッシングキャンペーンも確認されています。このキャンペーンでは、クルド人コミュニティのメンバー、学者、政府関係者など約50人が被害を受けています。

WhatsAppフィッシングキットは認証情報を窃取するだけでなく、デバイスのカメラ、マイク、位置情報へのアクセス許可も要求します。これにより、攻撃者は被害者の監視を行う能力を獲得できます。

知っておくと便利なTips

  • ペルシャ語のメタデータを持つ不審なExcel添付ファイルに注意する
  • マクロの実行ポリシーを厳格に設定し、信頼できないソースからのマクロを無効化する
  • GitHubやGoogle Driveへの異常な通信パターンを監視する
  • Telegram APIを通じた不審なデータ送信をモニタリングする
  • 感情的な操作を利用したソーシャルエンジニアリング攻撃への意識向上トレーニングを実施する

まとめ

RedKittenキャンペーンは、国家支援型脅威アクターが正規のクラウドサービスを悪用し、検出を回避しながら高度な攻撃を行う最新の事例です。特にGitHub、Google Drive、Telegram Bot APIという一般的なサービスをC2インフラとして使用している点は、従来のネットワーク監視では検出が困難になることを意味します。

人権活動に関わる組織や個人は、このような国家レベルの脅威に対して特別な警戒が必要です。マクロを含むOfficeファイルへの対策、クラウドサービスへの異常な通信の監視、そして何より感情に訴えかけるソーシャルエンジニアリング攻撃への教育が重要となります。サイバーセキュリティと人権保護の観点から、この脅威の動向を継続的に注視する必要があります。

📎 元記事: https://thehackernews.com/2026/01/iran-linked-redkitten-cyber-campaign.html

コメント

タイトルとURLをコピーしました