イランが人権NGOを攻撃したとされるサイバーキャンペーン、AIとテレグラムを利用してデジタルスパイ
ジャカルタ - イランの国家利益と関連する新しいサイバースパイ活動が、人権NGOやイランの最近の人権侵害の疑いを文書化した活動家や個人を標的にしていることが明らかになりました。このキャンペーンはRedKittenと呼ばれています。
この活動は、2026年1月にフランスのサイバーセキュリティ企業であるHarfangLabによって検出されました。RedKittenキャンペーンは、2025年末以降に勃発し、インフレの急増、食料価格の上昇、通貨価値の急落によって引き起こされたイランの全国的な暴動の波と一致していると伝えられています。治安部隊による抗議行動に対する厳しい取り締まりは、多くの死傷者と広範囲にわたるインターネットの停止を引き起こしたと伝えられています。
「このマルウェアは、構成とモジュラーペイロードの取得にGitHubとGoogleドライブに依存しており、コマンドアンドコントロールの手段としてTelegramを使用しています」とHarfangLabは報告書で述べています。
このキャンペーンを際立たせたのは、脅威の加害者が、攻撃デバイス全体を構築し、組織化するために、大規模言語モデル(LLM)または人工知能ベースの言語モデルを利用しているという強い疑いでした。攻撃は、XLSM形式のMicrosoft Excelドキュメントを含むペルシャ語(Farsi)名を持つ7-Zipアーカイブから始まり、危険なマクロに侵入されました。
スプレッドシートには、2025年12月22日から2026年1月20日までの間にテヘランで死亡したデモ隊員のデータが含まれていると主張されています。しかし、中に埋め込まれた危険なVBAマクロは、アクティブ化されると、AppDomainManager注入技術を使用して、AppVStreamingUX_Multi_User.dllというC#ベースのインプラントのドレッサとして機能します。
HarfangLabは、このVBAマクロがLLMによって生成された可能性が高いと評価しました。これは、「VBAコードの全体的なスタイル、使用される変数とメソッドの名前」から、および「パート5:結果を報告し、成功した場合はスケジュールする」などの構造化されたコメントからわかります。
この攻撃は、犠牲者の感情的な圧力を悪用して偽の緊急感を作り出し、感染連鎖を誘発するために、行方不明者に関する情報を探している個人を特に標的にしたとされる。スプレッドシート内のデータの分析、年齢と生年月日の不一致を含む、データが最も可能性が高いことを示唆している。
このキャンペーンで使用されるバックドアは、SloppyMIOと呼ばれています。このマルウェアは、ステガノグラフィで隠された設定を含む画像を格納するGoogleドライブURLを取得するために、GitHubをデッドドロップ解決器として使用します。この情報には、Telegramボットトークン、TelegramチャットID、およびさまざまなアドオンモジュールのリンクが含まれています。
少なくとも5つのモジュールがサポートされています。cmd.exeでコマンドを実行するためのcm、Telegram APIのサイズ制限に従ってZIP形式でファイルを収集してアーカイブするためのdo、%LOCALAPPDATA%\Microsoft\CLR_v4.0_32\NativeImages\ディレクトリにファイルを書き込むためのup、画像にエンコードされたデータで永続性を維持するために2時間ごとに実行する実行可能ファイルを実行するためのpr、および新しいプロセスを実行するためのra。
さらに、このマルウェアは、設定されたTelegramチャットIDにビーコンを送信し、追加の指示を受け取り、実行結果をオペレーターに送信することにより、コマンドアンドコントロール(C2)サーバーと通信することができます。サポートされているコマンドには、モジュールdoを実行するためのdownload、モジュールcmを実行するためのcmd、および特定のプロセスを起動するためのrunappが含まれます。
「このマルウェアは、リモートストレージからいくつかのモジュールを収集して保存し、任意の命令を実行し、ファイルを収集してエクスポートし、スケジュールされたタスクを介して永続的に追加のマルウェアを拡散することができます」とHarfangLabは述べています。「SloppyMIOはステータスメッセージを送信し、コマンドを実行し、Telegram Bot APIをコマンドアンドコントロールとして利用して、盗まれた結果ファイルをオペレーターに送信します。
イランの俳優への帰属は、ペルシャ語のアーティファクトの存在、攻撃フィードバックのテーマ、および以前のキャンペーンとの戦術の類似性に基づいています。Tortoiseshellは、AppDomainManager注入技術を使用してIMAPLoaderを配布するために危険なExcelドキュメントも使用しました。
GitHubのデッドドロップ解決策としての選択も、新しいものではありません。2022年末、ソフォスの傘下にあるセキュアワークスは、Drokbkと呼ばれるバックドアを配布するためにGitHubを利用した、イラン国家グループのサブクラスタキャンペーン、ネメシスキットンの存在を明らかにしました。
この状況は、サイバー犯罪者のAIツールの採用が増加し、アトリビューションと検出の取り組みをますます困難にしていることにより、さらに複雑になっています。
「GitHub、Google Drive、Telegramなどのコンモディティインフラストラクチャに対する脅威アクターの依存は、従来のインフラストラクチャベースのトラッキングを妨げますが、パラドックス的に有用なメタデータを開き、加害者にとって独自の運用セキュリティの課題をもたらします」とHarfangLabは述べています。
この暴露は、英国に拠点を置くイラン人活動家であり、サイバースパイの独立した研究者であるナリム・ガリーブが「whatsapp-meeting.duckdns[.]org」リンクを使用した別のフィッシングキャンペーンを明らかにした数週間後に起こりました。リンクはWhatsAppを介して配布され、WhatsApp Webの偽ログインページで被害者をだます。
「このページは、/api/p/{victim_id}/を介して攻撃者のサーバーを毎秒チェックします」とGharib氏は説明します。「これは、攻撃者が被害者に自分のWhatsApp Webセッションから直接QRコードを提供することを可能にします。ターゲットが携帯電話でそれをスキャンすると、彼らは「会議」に参加していると思い、攻撃者のブラウザセッションを認証します。攻撃者は被害者のWhatsAppアカウントに完全にアクセスできます」
フィッシングページはまた、カメラ、マイク、地理的位置へのアクセスを許可するようにブラウザに要求し、写真、オーディオ、被害者の位置をリアルタイムで記録できる監視デバイスとして機能します。現在、キャンペーンの背後にある加害者と主な動機は、正確には知られていません。
この活動のさらなる調査を行ったTechCrunchのジャーナリスト、Zack Whittaker氏は、キャンペーンはまた、パスワードと2要素認証コード(2FA)を収集する偽のGmailログインページを提供することによってGmailの資格情報を盗むことを目的としていると述べた。クルド人コミュニティ、学者、政府関係者、ビジネスマン、その他の幹部を含む約50人が被害に遭ったと伝えられている。
この発見は、別のイランのハッカーグループであるチャーミングキッテンが、組織構造、内部作業、主要な人員を明らかにした大規模な漏洩を経験した直後に発生しました。漏洩はまた、イラン人と外国人を追跡するために、イラン革命防衛隊(IRGC)に関連するさまざまな部門からのデータを組み合わせるKashefと呼ばれる監視プラットフォームの存在も明らかにしました。
2025年10月、ガリーブは、2019年にイラン情報・安全保障省(MOIS)の2人のオペレーター、セイド・モジュタバ・モスタファヴィとファルジン・カリミによって設立されたサイバーセキュリティ学校であるラビン・アカデミーでさまざまなトレーニングプログラムに参加した1,051人の個人を含むデータベースもリリースしました。この機関は、MOISの作戦を支援し、促進したとして、2022年10月に米国財務省によって制裁されました。
ラビン・アカデミーは、情報セキュリティ、脅威ハンティング、レッドチーム、デジタルフォレンジック、マルウェア分析、セキュリティ監査、侵入テスト、ネットワーク防御、インシデント対応、脆弱性分析、モバイル侵入テスト、リバースエンジニアリング、セキュリティリサーチの分野でトレーニングを提供すると述べられています。
2025年10月22日に公式のTelegramチャンネルで声明を発表したRavin Academyは、データ侵害が発生したことを確認しました。彼らは、社内ネットワークの外にホストされているオンラインシステムの1つがサイバー攻撃の標的となり、トレーニング参加者のユーザー名と電話番号の一部が漏洩したと述べた。しかし、アカデミーは攻撃が評判を傷つけ、漏洩したデータのほとんどが無効であることを目的としていると主張した。
「このモデルにより、MOISは初期の採用と選抜プロセスを委託しながら、創設者と諜報機関との直接的な関係を通じて運用上の制御を維持することができます」とガリーブは述べています。「この二重構造により、MOISはサイバー作戦のための人的資源を開発し、政府への直接の帰属から距離を保つことができます。