イランのAPTグループMuddyWater、諜報活動の隠れ蓑にChaosランサムウェアを展開
新たなレポートによると、イランの国家支援型ハッカーが、諜報活動やデータ窃盗作戦を隠蔽するための欺瞞的な戦術として「Chaos」ランサムウェアを活用していることが示唆されています。Rapid7の研究者は、当初ランサムウェア攻撃に見えた最近の侵入を調査し、後にイラン情報保安省(MOIS)と関連付けられているイランの高度標的型攻撃(APT)グループであるMuddyWaterによるものだと特定しました。
新たな調査によると、イランの国家支援型ハッカーが、諜報活動およびデータ窃盗作戦の隠れ蓑として「Chaos」ランサムウェアを展開しているとのことです。
### MuddyWaterの欺瞞的な戦術
サイバーセキュリティ企業Rapid7のインシデント対応担当者は、当初「Chaos」ランサムウェア攻撃に見えた最近の侵入に関するレポートを発表しました。この攻撃は後に、イラン情報保安省(MOIS)と関連付けられているイランのAPTグループであるMuddyWaterによるものだと特定されました。
Rapid7のアレクサンドラ・ブリア氏とイヴァン・フェイグル氏は、「Chaos」ランサムウェアの使用は「運用上の意図を曖昧にし、帰属を困難にするための継続的な努力を反映している」と述べています。
「国家関連の攻撃者にとって帰属回避は一般的な特徴ですが、2026年初頭からMuddyWaterの運用活動の増加が報告されており、主にサイバー諜報活動や、欧米および中東のネットワークに対する破壊活動の準備に関与していることから、欺瞞的な偽旗作戦への依存を強めている可能性があります」と両氏は述べています。
### Chaosランサムウェアの起源
「Chaos」ランサムウェアの運用は2025年2月から存在しており、サイバーセキュリティ専門家は、これが現在活動していない「BlackSuit」および「Royal」ランサムウェアグループの元メンバーによって作成されたと考えています。
### 初期アクセスとデータ漏洩
Rapid7は、事件の中心となった被害者に関する情報はほとんど提供しておらず、ハッカーが初期アクセスを得るために「Microsoft Teams」を利用したソーシャルエンジニアリングキャンペーンを使用したと述べるにとどまりました。
ハッカーは外部チャットリクエストを通じて従業員に連絡を取り、ユーザーと1対1の会話を開始しました。最終的に被害者との画面共有セッションを確立し、ハッカーはVPN設定に関連するファイルにアクセスし、被害者に認証情報を入力するように求めました。
脅威アクターはまた、被害者のシステムへのより深いアクセスを可能にするためにリモート管理ツールを展開しました。その後、不明な期間を経て、ハッカーは身代金が支払われない場合、盗まれたデータを漏洩すると脅迫する複数の電子メールを会社の従業員に送信しました。
研究者によると、恐喝プロセスは不器用でしたが、ハッカーは後に盗まれたデータを公開し、会社はそのデータが正当なものであることを確認しました。
Rapid7は、ファイル暗号化の欠如が、攻撃の背後にある真の犯人について疑問を抱かせた別の不一致であると指摘しました。
### イランMOISへの帰属
研究者たちは、イランのMOISを指し示す技術的証拠の山を発見しました。展開されたマルウェアと使用された証明書は、イランのMuddyWaterハッキンググループが通常使用するツールキットに結びついていました。
攻撃に使用されたインフラストラクチャは、以前はセキュリティベンダーによって、3月に中東および北アフリカの組織を標的とした別のMuddyWaterキャンペーンに関連付けられていました。
ブリア氏とフェイグル氏は、この事件は「国家支援型侵入活動とサイバー犯罪者の手口との間の、ますます高まる収束を浮き彫りにしている」と付け加えました。
昨年、研究者たちは、イスラエルの組織を攻撃するためにこの亜種が使用された後、MuddyWaterを「Qilin」ランサムウェアエコシステムに関連付けました。この攻撃は最終的にイランのMOISに直接帰属され、ハッカーが「帰属リスクを軽減し、ある程度の明白な否認可能性を維持する」ために「Chaos」ランサムウェアブランドを採用した可能性があるとRapid7は述べています。
### 線引きの曖昧化:国家支援型アクターとランサムウェア
中国、ロシア、北朝鮮、イランの複数の国家支援型グループが、諜報攻撃の隠れ蓑として、あるいは敵対者への妨害を引き起こす方法として、ランサムウェア・アズ・ア・サービス(RaaS)フレームワークを採用していることが確認されています。
ブリア氏とフェイグル氏は、ランサムウェアは国家アクターが動機を曖昧にし、西側の法執行機関やサイバー防御者による帰属を複雑にすることを可能にすると述べています。
研究者たちは2月に、北朝鮮の国家ハッカーが攻撃で「Medusa」ランサムウェアを使用していると警告しました。
他のいくつかのケースでは、ランサムウェアが中国の諜報活動の隠れ蓑として使用されています。法執行機関はまた、イラン政府のハッカーが公式アクセスを利用して、二重取りしてサイバー犯罪者として副業を行い、ハッキングスキルを収益化する取り組みの一環として、後に金銭的動機のある攻撃を開始する事例も見てきました。
FBIは以前、イランの俳優が「NoEscape」、「Ransomhouse」、「AlphV」のランサムウェア運用のアフィリエイトと提携し、最終的に身代金支払いのパーセンテージを受け取っていたことを目撃したと述べています。
イランと米国の間の物理的な敵対行為の開始時、イランの俳優によって開始されたとされるランサムウェア攻撃やワイパーインシデントを含むサイバー活動の急増がありました。2月下旬に米国の医療組織がイランの「Pay2Key」ランサムウェアで標的にされ、著名な医療機器会社はイランのハッカーによるサイバー攻撃の後、数週間にわたって被害を受けました。
