2026年1月、イラク政府機関を標的としたサイバー攻撃キャンペーンが発覚し、中東地域のサイバーセキュリティ情勢に新たな緊張が走っています。この攻撃は、イランと関連があるとされる脅威アクター「Dust Specter」によるもので、イラク外務省を装う巧妙なソーシャルエンジニアリング手法を用いて政府関係者を狙いました。セキュリティ企業Zscalerの脅威インテリジェンス部門ThreatLabzがこの活動を検知し、その詳細を3月2日に公開されたレポートで明らかにしています。
Dust Specterは、これまで知られていなかった複数のマルウェア、具体的には「SPLITDROP」「TWINTASK」「TWINTALK」「GHOSTFORM」を駆使して攻撃を展開しました。これらのマルウェアの中には、生成AIツールが開発に利用されたことを強く示唆する特徴がコードベースから発見されており、サイバー攻撃の進化における新たな局面を示しています。ThreatLabzは、この脅威アクターがイランと関連している可能性を「中程度から高度な確信」をもって指摘しており、その手口の洗練度と標的の重要性から、国家レベルの支援を受けた活動である可能性が浮上しています。
このキャンペーンでは、イラク政府関連のインフラストラクチャが侵害され、悪意のあるペイロードのホスティングに利用されていたことも判明しています。これは、攻撃者が標的の信頼を悪用し、検出を回避しようとする高度な戦略の一環です。攻撃は二つの異なる感染経路を通じて展開され、それぞれが異なるマルウェアの組み合わせと実行メカニズムを採用していました。
本記事では、Zscaler ThreatLabzの綿密な調査に基づき、Dust Specterの攻撃キャンペーンの全貌を深く掘り下げます。生成AIの利用、巧妙なソーシャルエンジニアリング、そして多層的なマルウェア展開といった要素がどのように組み合わされ、イラク政府機関を狙ったのかを詳細に分析し、現代のサイバー脅威が直面する新たな課題を浮き彫りにします。
AIが生成した脅威:新種マルウェア「SPLITDROP」と「GHOSTFORM」
Dust Specterが今回のキャンペーンで用いたマルウェア群は、その開発プロセスにおいて注目すべき特徴を示しています。ThreatLabzの分析によると、「TWINTALK」と「GHOSTFORM」のコードベースからは、絵文字やUnicodeテキストが頻繁に使用されていることが確認されました。この異例なコーディングスタイルは、生成AIツールがマルウェア開発に利用された可能性を強く示唆しており、他のキャンペーンでも同様の傾向が報告されています。例えば、URIパスのチェックサム生成に使用されるシード値「0xABCDEF」(11259375)は、AIが生成するコードによく見られるプレースホルダー値であると指摘されています。
この新種のマルウェア群は、攻撃の初期段階を担うドロッパー「SPLITDROP」、ワーカーモジュールとして機能する「TWINTASK」、そしてコマンド&コントロール(C2)オーケストレーターである「TWINTALK」から構成される第一の攻撃チェーンと、これら全ての機能を単一のバイナリに統合したリモートアクセス型トロイの木馬(RAT)「GHOSTFORM」を特徴とする第二の攻撃チェーンに大別されます。これらのツールは、標的システムへの永続的なアクセスを確立し、機密情報の窃取やさらなる悪意のある活動を実行するために設計されています。
「SPLITDROP」は、パスワードで保護されたRARアーカイブ内に隠されており、正規のWinRARアプリケーションを装って実行されます。これは、被害者が疑いなくマルウェアを実行するよう仕向けるための古典的なソーシャルエンジニアリング手法です。一度実行されると、SPLITDROPはバックグラウンドで動作しながら、被害者の注意をそらすための偽のダウンロード失敗メッセージを表示します。
一方、「GHOSTFORM」は、その名の通り、目に見えないWindowsフォームを利用して実行を遅延させるという巧妙な回避技術を採用しています。フォームの不透明度を極めて低く設定し、タスクバーに表示されないようにすることで、マルウェアの存在を隠蔽します。このような技術は、検出を困難にし、分析を遅らせることを目的としており、Dust Specterの高度な技術力を示しています。生成AIの活用は、このような複雑な回避メカニズムの開発を加速させている可能性があり、サイバーセキュリティの防御側にとって新たな課題を突きつけています。
巧妙な二段階攻撃:感染経路の深層
Dust Specterの攻撃キャンペーンは、二つの異なる、しかし連携する感染経路を通じて展開されました。第一の攻撃チェーンは、まず「mofa-Network-code.rar」というパスワード保護されたRARアーカイブから始まります。このアーカイブには、正規のWinRARアプリケーションを装った32ビットの.NETバイナリ「SPLITDROP」が含まれていました。被害者がこのアーカイブを開き、パスワード「92,110-135_118-128」を入力してSPLITDROPを実行すると、マルウェアの活動が開始されます。SPLITDROPは、被害者の注意をそらすために「ダウンロードが正常に完了しませんでした」というメッセージボックスを表示しつつ、バックグラウンドで悪意のあるペイロードの展開を進めます。
SPLITDROPは、埋め込まれたリソース「CheckFopil.PolGuid.zip」をAES-256 CBCモードで復号し、「C:\ProgramData\PolGuid\」ディレクトリに展開します。この復号プロセスには、被害者が入力したパスワードから導出されたキーが使用されます。展開後、正規のVLCメディアプレイヤーの実行ファイル「VLC.exe」が「C:\ProgramData\PolGuid\VLC\」から起動されますが、このVLC.exeは、同じディレクトリに配置された悪意のあるDLLファイル「libvlc.dll」をサイドローディングします。このlibvlc.dllこそが、ワーカーモジュールとして機能する「TWINTASK」の正体です。
TWINTASKは、システムに永続性を確立し、C2サーバーからのコマンドを実行するための基盤を築きます。具体的には、15秒ごとに「C:\ProgramData\PolGuid\in.txt」ファイルを監視し、新しいコマンドが書き込まれていれば、それをBase64デコードしてPowerShellスクリプトとして非同期に実行します。実行結果やエラーは「C:\ProgramData\PolGuid\out.txt」に記録されます。初回起動時には、TWINTASKはWindowsレジストリの「HKCU:\Software\Microsoft\Windows\CurrentVersion\Run」キーに「VLC」と「WingetUI」のエントリを作成し、システム再起動後も自身と次の段階のマルウェアが自動的に起動されるように設定します。
さらに、TWINTASKによって「C:\ProgramData\PolGuid\WingetUI\WingetUI.exe」が実行されると、この正規のアプリケーションは、同じディレクトリに存在する悪意のあるDLLファイル「hostfxr.dll」をサイドローディングします。このhostfxr.dllが、C2オーケストレーターとして機能する「TWINTALK」です。このように、第一の攻撃チェーンは、正規のアプリケーションのDLLサイドローディング機能を悪用し、複数のコンポーネントを連携させることで、標的システムへの侵入と永続化を図る複雑なメカニズムを構築しています。
C2オーケストレーター「TWINTALK」と進化する「GHOSTFORM」
第一の攻撃チェーンにおける中核的な役割を担う「TWINTALK」は、C2オーケストレーターとして、感染したシステムと攻撃者のサーバー間の通信を管理します。TWINTALKは、実行後、120秒を基準としたランダムな間隔(108秒から180秒の間)で遅延を発生させた後、C2サーバーへのビーコン通信を開始します。この遅延メカニズムは、検出を回避し、サンドボックス環境での分析を困難にするための一般的な手法です。C2通信では、ランダムに生成された10文字の16進数文字列と、カスタムアルゴリズムで生成された6文字のチェックサムを組み合わせたユニークなURIパスが使用されます。これにより、C2サーバーは正規の感染システムからのリクエストであることを検証し、URL分析エンジンからのアクセスを排除します。
TWINTALKは、C2サーバーへのGETリクエストに、ハードコードされた正規のブラウザを模倣したUser-Agent文字列を含め、さらにJSON Web Token(JWT)を「Authorization: Bearer」ヘッダーに埋め込んで送信します。このJWTの「iat」フィールドには、ボットIDとボットバージョンが格納されており、通常はUnixエポックタイムスタンプが使用されるこのフィールドを悪用することで、通信の正当性を偽装します。特筆すべきは、JWTの署名に非常に弱い秘密鍵「_」が使用されている点です。C2サーバーからの応答は、クリアテキストのJSONオブジェクトとして返されますが、検出回避のため、JSONキー名がリクエストごとにランダム化されるという高度な技術が用いられています。TWINTALKは、このJSONオブジェクトをキー名ではなく位置で解析することで、コマンドの種類(コード実行、ファイルダウンロード、ファイルアップロード)を識別し、TWINTASKと連携して実行します。
一方、第二の攻撃チェーンを構成する「GHOSTFORM」は、第一のチェーンの全ての機能を単一のバイナリに統合し、ファイルシステムへの痕跡を最小限に抑えるためにインメモリのPowerShellスクリプト実行を利用します。GHOSTFORMは、TWINTALKと同様にランダム化された遅延機能を持つC2ビーコンループに入りますが、より創造的な遅延実行技術を採用しています。具体的には、不透明度を0.001、サイズを10x15に設定し、タスクバーに表示されないようにした「見えないWindowsフォーム」を起動し、タイマーが設定された遅延時間(基準121秒、±35%のジッター)が経過するまで実行を停止します。
さらに、GHOSTFORMは「Global_」という名前のミューテックスを作成し、単一のインスタンスのみが実行されることを保証します。ボットIDの生成方法も異なり、GHOSTFORMでは.NETアセンブリの作成タイムスタンプをUnixエポックタイムスタンプに変換してボットIDとして使用します。これらの技術は、マルウェアの検出と分析をさらに困難にし、Dust Specterが継続的にその手口を進化させていることを示唆しています。
欺瞞の手口:偽のWebex招待とGoogleフォームの罠
Dust Specterは、標的であるイラク政府関係者を欺くために、非常に説得力のあるソーシャルエンジニアリングの手口を複数用いています。その一つが、2025年7月に確認された「ClickFix」スタイルの攻撃です。この際、脅威アクターは「meetingapp[.]site」というC2ドメインを悪用し、Cisco Webexの会議招待を装った偽のウェブページをホストしました。このページは、正規のCisco Webexソフトウェアのダウンロードリンクを含みつつ、被害者に「Webex for Government」オプションを選択するよう誘導し、さらに会議IDを取得するための指示に従わせるというものでした。
この指示には、PowerShellコマンドをコピー&ペーストして実行させるという典型的なClickFix手法が含まれていました。この悪意のあるPowerShellスクリプトは、「C:\ProgramData\WinWebex」ディレクトリを作成し、同じ「meetingapp[.]site」から悪意のあるバイナリをダウンロードして「WinWebex.exe」として保存します。さらに、このバイナリを2時間ごとに実行する「winWebex」という名前のスケジュールされたタスクを作成し、永続的なアクセスを確保しようとしました。この手口は、被害者が無意識のうちにマルウェアをダウンロード・実行してしまうように設計されており、その巧妙さが際立っています。
GHOSTFORMの攻撃チェーンでは、さらに別のソーシャルエンジニアリングの手法が用いられました。一部のGHOSTFORMバイナリには、ハードコードされたGoogleフォームのURLが埋め込まれており、マルウェアの起動時にシステムのデフォルトブラウザでこのURLが開かれるように設定されていました。このGoogleフォームはアラビア語で書かれており、イラク外務省からの公式調査を装っていました。政府関係者を対象としたこの偽の調査は、被害者がフォームに入力する情報を通じて、さらなる個人情報や認証情報を窃取することを目的としていたと考えられます。
さらに注目すべきは、Dust Specterが攻撃ペイロードのホスティングに、イラク政府関連のインフラストラクチャを侵害して利用していた点です。例えば、GHOSTFORMを含む悪意のあるZIPアーカイブは、「hxxps://ca[.]iq/packages/mofaSurvey_20_30_oct.zip」というURLでホストされていました。これは、正規のイラク政府ウェブサイト「ca.iq」が侵害され、攻撃活動の拠点として悪用されたことを意味します。このような手法は、被害者にさらなる信頼を与え、セキュリティ対策を迂回するための極めて効果的な戦略であり、攻撃者の高度な計画性を示しています。
イランとの関連性:過去のAPTグループとの共通点
Zscaler ThreatLabzは、今回のDust Specterによるキャンペーンを「中程度から高度な確信」をもってイランと関連する脅威アクターに帰属させています。この帰属は、被害者、使用されたツール、戦術、技術、手順(TTPs)の顕著な重複に基づいています。まず、被害者の側面では、イラクの政府部門、特に外務省が標的とされている点が挙げられます。これは、過去にAPT34(別名OilRig)のようなイラン関連のAPTグループがイラク政府機関を標的としてきた歴史と一致します。今回のソーシャルエンジニアリングの誘い文句やアーカイブのファイル名も、イラク外務省の関係者を狙ったものであることを強く示唆しています。
次に、使用されたツールの特徴もイラン関連の脅威アクターと共通しています。カスタムで軽量な.NETベースのバックドアをコード難読化なしで使用する手口は、複数のイラン系APTグループの典型的な特徴です。また、コード実行、ファイルダウンロード、ファイルアップロードという3つのC2コマンドのみを使用する点も、APT34を含むイラン系APTグループが使用する複数のカスタム.NETマルウェアファミリーで一貫して観察されています。さらに、C2通信において、HTTPヘッダー内のJWTの「iat」フィールドにボットIDやボットバージョンを埋め込むことで、C2コマンドや被害者識別子を密かに送信する手法も、イラン関連の脅威アクターが過去に用いてきた戦術です。
さらに、攻撃インフラの面でも共通点が見られます。侵害されたイラク政府のインフラストラクチャを悪意のある作戦に利用する戦術は、2024年にもAPT34などのイラン関連APTグループによって使用されています。今回のキャンペーンでは、正規のイラク政府ウェブサイト「ca.iq」が侵害され、GHOSTFORMを含む悪意のあるアーカイブのホスティングに利用されていました。このようなインフラの悪用は、攻撃の信頼性を高め、検出を回避するための重要な要素です。
ソーシャルエンジニアリングの誘い文句も、イラン関連の脅威アクターが使用する手法と一致しています。偽の会議招待状の使用は、複数のイラン系APTグループによって用いられており、今回のDust SpecterがCisco Webexの「Webex for Government」会議招待を装ったウェブページを作成した事例もその一環です。ClickFixスタイルのソーシャルエンジニアリング技術自体はイラン系APTグループに固有のものではありませんが、Dust Specterがこれを最近の攻撃に取り入れたことは、彼らの戦術が進化していることを示しています。そして、生成AIのマルウェア開発への統合は、イラン関連のAPTグループがAIを攻撃ライフサイクルに組み込んでいるという最近のAIベンダーからの報告とも合致しており、Dust Specterがこの新たなトレンドを積極的に採用していることを裏付けています。
脅威の進化と今後の課題
Dust Specterによるイラク政府機関への攻撃キャンペーンは、現代のサイバー脅威が直面するいくつかの重要な進化と課題を浮き彫りにしています。最も顕著なのは、生成AIがマルウェア開発の領域に本格的に導入され始めているという事実です。絵文字やUnicodeテキスト、そしてAIが生成するコードに典型的なプレースホルダー値の発見は、攻撃者がより迅速に、より多様なマルウェアを開発できるようになっている可能性を示唆しています。これにより、防御側は、従来のシグネチャベースの検出だけでなく、異常なコードパターンや開発プロセスの痕跡を特定する新たな分析手法を確立する必要に迫られています。
また、このキャンペーンは、ソーシャルエンジニアリングの洗練度が依然として高い脅威であることを再確認させます。イラク外務省を装ったGoogleフォームや、Cisco Webexの会議招待を模倣したClickFixスタイルの攻撃は、被害者が疑いなく悪意のある操作を実行してしまうよう巧妙に設計されています。特に、侵害された政府機関のインフラストラクチャを悪用してペイロードをホストする手口は、被害者の信頼を逆手に取り、正規の通信と見分けがつきにくくすることで、検出を困難にしています。これは、組織が自身のデジタル資産だけでなく、サプライチェーン全体のセキュリティ、特に信頼できると見なされる第三者のインフラの健全性にも注意を払う必要があることを示唆しています。
マルウェアの技術的な進化も看過できません。SPLITDROP、TWINTASK、TWINTALK、GHOSTFORMといった新種のマルウェアは、DLLサイドローディング、ファイルベースのポーリングメカニズム、インメモリ実行、そして目に見えないWindowsフォームによる遅延実行など、多岐にわたる回避技術を組み合わせています。C2通信におけるランダム化されたURIパス、チェックサム検証、User-Agent偽装、そしてJSONキー名のランダム化といった手法は、ネットワークベースの検出を回避するための高度な試みです。これらの技術は、攻撃者が検出を逃れるために常に新しい方法を模索していることを示しており、防御側には多層的なセキュリティ対策と継続的な脅威インテリジェンスの活用が求められます。
Dust Specterの活動は、イラン関連のAPTグループが、その戦術、技術、手順を継続的に進化させ、新たなツールや手法を迅速に取り入れていることを明確に示しています。政府機関を標的とする国家支援型攻撃は、機密情報の窃取や国家インフラへの妨害を目的とすることが多く、その影響は甚大です。今回の事例は、中東地域におけるサイバー空間での緊張が依然として高く、高度な脅威アクターによる継続的な監視と対策の必要性を強く訴えかけるものです。
参考情報
本記事は以下の情報源を参考に作成されました:
- -Iranian Cyber Threat Actor Targets Iraqi Government Officials - https://www.infosecurity-magazine.com/news/iran-cyber-threat-actor-iraq/
- -Dust Specter APT Targets Gov’t Officials in Iraq | ThreatLabz - https://www.zscaler.com/blogs/security-research/dust-specter-apt-targets-government-officials-iraq
- -Dust Specter Targets Iraqi Officials with New SPLITDROP and GHOSTFORM Malware - https://thehackernews.com/2026/03/dust-specter-targets-iraqi-officials.html