イラン系グループSubtle Snail、ヨーロッパの通信事業者などを標的にスパイ活動を展開

nosa

2025.09.26

ウィークリー・サイバーラウンド・アップ

イラン系ハッキンググループSubtle Snail、ヨーロッパの通信事業者などを標的にスパイ活動を展開

Catalyst – September 17, 2025

Prodaftの研究者がイラン系ハッキンググループSubtle Snailについて詳述した。Eclipsed Waspネットワークに属するUnyielding Waspグループとの関連が疑われるSubtle Snailは、遅くとも2022年6月に活動を開始。現在は主に通信事業者への侵入を狙う一方、航空宇宙・防衛関連産業を引き続き標的とし、戦略的スパイ活動を目的に長期的な永続性の確保と機微情報の窃取を行っている。最新の攻撃ではLinkedInを介した偽求人プロセスを利用し、11組織のデバイス34台にマルウェアを感染させた。Subtle Snailは人事担当者を装い、標的となる人物に偽の求人応募ログインページの認証情報を送信する。続いて予約システム経由で面接の招待状を送り、被害者が日時を記入すると初期感染用ファイルが自動的にダウンロードされる。その後はDLLサイドローディングを用いてMINIBIKEバックドアの亜種を配布し、標的あるいは標的が実行する操作ごとに個別のDLLを作成する。Subtle Snailはキーロガーや認証情報窃取ツール、ドメイン名チェックツールなどを含むカスタムDLLに加え、基本的なシステム操作のためのカスタムツールも開発している。同グループはレジストリのRunキーを改ざんすることで永続性を確保しており、これによってシステム起動時にMINIBIKEが自動的に読み込まれるようになる。また、MINIBIKEはC2サーバーとの通信にAzureクラウドサービスを介したプロキシ接続を使用し、検出を回避している。

COLDRIVERがロシア市民を狙い、BAITSWITCHとSIMPLEFIXを展開

Zscaler – September 24, 2025

2025年9月、Zscalerの研究者が新たな多段階ClickFixキャンペーンを発見した。実行者はロシア関連の高度持続的脅威（APT）グループCOLDRIVERの可能性が高く、ロシアと関係のある市民社会組織を標的にしていると思われる。このキャンペーンではBAITSWITCHダウンローダーやPowerShellバックドアSIMPLEFIXを含む、2つの新型軽量マルウェアファミリーが配信される。感染チェーンの始まりは情報リソースに偽装したWebページで、その内容はロシア市民社会組織のメンバーやシンクタンクが直面する課題とその対処に関するものになっている。ClickFixの手法が使用されており、偽のCloudflareチェックボックスを介してWindowsの「ファイル名を指定して実行」ダイアログで悪意のあるコマンドを実行するように被害者を誘導する。その後にBAITSWITCHが実行され、被害者を囮のGoogle Driveドキュメントにリダイレクトさせる。BAITSWITCHは脅威アクターが管理するドメインに5件のHTTPリクエストを送信した後、コマンドの受信と永続性の確立を行い、難読化されたPowerShellステージャーを介してSIMPLEFIXをダウンロードする。SIMPLEFIXを実行すると、PowerShellステージャーと同様の難読化手法を用いた偵察・分析・データ窃取・自己終了コマンドが行われる。COLDRIVERによる攻撃と特定できた要因は、同グループが2025年1月に実施したキャンペーンと類似していたためである。また、2025年1月のキャンペーンでも同様のClickFixを採用したHTMLページでLOSTKEYSが配信されており、このマルウェアに使われる復号鍵とSIMPLEFIXの復号鍵は同じ手法で送られていた。偵察フェーズと被害者情報にも類似点が確認されている。

【開催決定！】日本最大級サイバー（脅威）インテリジェンスイベント

サイバーインテリジェンスイベント「Cyber Intelligence Summit 2025」を11月に開催します！

サイバー脅威インテリジェンスとセキュリティ戦略についての国際セキュリティカンファレンス「Cyber Intelligence Summit 2025」を2025年11月5日〜7日、ベルサール虎ノ門にて開催します。

3大メガバンクスペシャル対談に加え、JC3、公安調査庁、楽天、リクルート、パナソニックなどからスペシャリストが登壇！海外からもアナリストや専門家が多数登壇予定です！

開催概要

名称：Cyber Intelligence Summit 2025

日程：2025年11月5日（水）、6日（木）、7日（金）

会場：ベルサール虎ノ門（オンライン配信無し）

主催：株式会社マキナレコード

料金：フルパス ¥10,000｜展示パス無料

翻訳：英日同時通訳付き

登録：特設サイトより事前登録

Day,01&02　一般企業中心（官公庁の方も歓迎）

民間企業においてサイバー脅威インテリジェンスに携わる部門のご担当者（情報セキュリティ部門、リスク管理、経営企画、IT・CISO室など）、またはその関連分野に関心をお持ちの方。官公庁・自治体のサイバー対策・情報分析部門にご所属の方もご参加いただけます。

Day,03　官公庁限定（主に法執行機関）

国内の官公庁、自治体、法執行機関（警察庁・都道府県警察、防衛省関連機関等）において、サイバー対策、情報保全、脅威インテリジェンス業務に携わる職員の方。

※Day3は官公庁、自治体、法執行機関所属の方に限りご参加いただけます。

※個人名義や企業所属でのご登録はできません。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。

翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス（情報）収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 : Weekly Cyber Round-up

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界

【無料配布中！】地政学情勢×サイバー動向の解説レポート

レポート『デジタル時代における世界の紛争 – 地政学情勢はサイバー作戦へどう影響を及ぼしているのか』

以下のバナーより、国際紛争や政治動向といった地政学的情勢がサイバー空間に与える影響について解説したSilobreaker社のレポート『デジタル時代における世界の紛争』の日本語訳バージョンを無料でダウンロードいただけます。

＜レポートの主なトピック＞

本レポートでは、ロシア・ウクライナ戦争やイスラエル・ハマス戦争などの紛争や各国での選挙といった地政学的イベントについて振り返りつつ、それに伴うサイバー攻撃やハクティビズム、偽情報キャンペーンなどのサイバー空間での動きを解説します。また、中国・ロシア・北朝鮮・イランの各国について、関連するハクティビストグループやAPTグループの攻撃事例・特徴などを紹介しながら、サイバーインテリジェンスにおける領域横断的なアプローチの必要性について考えていきます。

序論
ハクティビズム
- ハクティビズムの変遷
- 戦争におけるハクティビズム
- 「選挙イヤー」におけるハクティビズム
- 絡み合う動機
- 国家の支援を受けたハッカー集団
偽情報
- 国家間対立
- 偽情報とロシア・ウクライナ戦争
- 偽情報とイスラエル・ハマス戦争
- 偽情報と選挙が世界にあふれた2024年
国家型APTの活動
- 中国
- ロシア
- 北朝鮮
- イラン
マルチチャネルインテリジェンスの運用化における課題と関連リスク