イラン系グループSubtle Snail、ヨーロッパの通信事業者などを標的にスパイ活動を展開

nosa

2025.10.17

ウィークリー・サイバーラウンド・アップ

イラン系ハッキンググループSubtle Snail、ヨーロッパの通信事業者などを標的にスパイ活動を展開

Catalyst – September 17, 2025

Prodaftの研究者がイラン系ハッキンググループSubtle Snailについて詳述した。Eclipsed Waspネットワークに属するUnyielding Waspグループとの関連が疑われるSubtle Snailは、遅くとも2022年6月に活動を開始。現在は主に通信事業者への侵入を狙う一方、航空宇宙・防衛関連産業を引き続き標的とし、戦略的スパイ活動を目的に長期的な永続性の確保と機微情報の窃取を行っている。最新の攻撃ではLinkedInを介した偽求人プロセスを利用し、11組織のデバイス34台にマルウェアを感染させた。Subtle Snailは人事担当者を装い、標的となる人物に偽の求人応募ログインページの認証情報を送信する。続いて予約システム経由で面接の招待状を送り、被害者が日時を記入すると初期感染用ファイルが自動的にダウンロードされる。その後はDLLサイドローディングを用いてMINIBIKEバックドアの亜種を配布し、標的あるいは標的が実行する操作ごとに個別のDLLを作成する。Subtle Snailはキーロガーや認証情報窃取ツール、ドメイン名チェックツールなどを含むカスタムDLLに加え、基本的なシステム操作のためのカスタムツールも開発している。同グループはレジストリのRunキーを改ざんすることで永続性を確保しており、これによってシステム起動時にMINIBIKEが自動的に読み込まれるようになる。また、MINIBIKEはC2サーバーとの通信にAzureクラウドサービスを介したプロキシ接続を使用し、検出を回避している。

COLDRIVERがロシア市民を狙い、BAITSWITCHとSIMPLEFIXを展開

Zscaler – September 24, 2025

2025年9月、Zscalerの研究者が新たな多段階ClickFixキャンペーンを発見した。実行者はロシア関連の高度持続的脅威（APT）グループCOLDRIVERの可能性が高く、ロシアと関係のある市民社会組織を標的にしていると思われる。このキャンペーンではBAITSWITCHダウンローダーやPowerShellバックドアSIMPLEFIXを含む、2つの新型軽量マルウェアファミリーが配信される。感染チェーンの始まりは情報リソースに偽装したWebページで、その内容はロシア市民社会組織のメンバーやシンクタンクが直面する課題とその対処に関するものになっている。ClickFixの手法が使用されており、偽のCloudflareチェックボックスを介してWindowsの「ファイル名を指定して実行」ダイアログで悪意のあるコマンドを実行するように被害者を誘導する。その後にBAITSWITCHが実行され、被害者を囮のGoogle Driveドキュメントにリダイレクトさせる。BAITSWITCHは脅威アクターが管理するドメインに5件のHTTPリクエストを送信した後、コマンドの受信と永続性の確立を行い、難読化されたPowerShellステージャーを介してSIMPLEFIXをダウンロードする。SIMPLEFIXを実行すると、PowerShellステージャーと同様の難読化手法を用いた偵察・分析・データ窃取・自己終了コマンドが行われる。COLDRIVERによる攻撃と特定できた要因は、同グループが2025年1月に実施したキャンペーンと類似していたためである。また、2025年1月のキャンペーンでも同様のClickFixを採用したHTMLページでLOSTKEYSが配信されており、このマルウェアに使われる復号鍵とSIMPLEFIXの復号鍵は同じ手法で送られていた。偵察フェーズと被害者情報にも類似点が確認されている。