**MuddyWater** APT（Seedwormとしても知られる）は、2026年第1四半期に4大陸の組織に影響を与えた最近のキャンペーンの背後にある攻撃者として特定されています。多様な産業を標的としたこれらの攻撃は、同グループの進化する戦術と増大する洗練度を示しています。 ### 標的となったセクター このキャンペーンは、産業および電子機器製造、教育および公共部門、金融サービス、専門サービスを標的としました。特に、韓国の大手電子機器メーカーが侵害され、攻撃者は2026年2月に1週間にわたり同社のネットワークへのアクセスを維持しました。その他の標的には、中東の国際空港、東南アジアの産業メーカー、ラテンアメリカの金融サービスプロバイダーが含まれていました。 ### 隠密性を高めるDLLサイドローディング 攻撃者は、正規のソフトウェアになりすましながら悪意のあるコードを実行するために、DLLサイドローディング技術に大きく依存していました。**Fortemedia**（fmapp.exe）および**SentinelOne**（sentinelmemoryscanner.exe）の署名済みバイナリが悪用され、悪意のあるDLLがロードされました。**Broadcom**のサイバーセキュリティチームによると、「sentinelmemoryscanner.exe」の使用は、シグネチャベースの検出を回避するための意図的な選択です。 以前、**Group-IB**は、**MuddyWater**の**Operation Olalampo**キャンペーンに関連して、「fmapp.exe」を使用して「fmapp.dll」をサイドロードした事例を文書化しました。**Huntress**は、このDLLが悪意のあるIPアドレスに接続するためのコードを含んでいると報告しました。 ### ChromElevator：ブラウザデータの窃盗 両方のDLLには、Chromiumベースのブラウザからパスワード、Cookie、支払いカードデータを盗むために設計されたオープンソースツールである**ChromElevator**が埋め込まれていました。この技術により、攻撃者は**Google Chrome**のようなブラウザのApp-Bound Encryption（ABE）保護を回避できます。 ### Node.jsとPowerShellによる偵察 攻撃の注目すべき側面は、Node.jsスクリプトを使用して、発見および情報収集操作を担当するPowerShellコードを起動したことです。盗まれたデータは、公開ファイル転送サービスであるsendit[.]shにステージングされました。 **Symantec**と**Carbon Black**の研究者は、node.exeベースのインプラントチェーンが、偵察、スクリーンショットキャプチャ、SAMハイブの窃盗、権限昇格、SOCKS5リバースプロキシトンネリングを実行するPowerShellスクリプトをドロップするために使用されたことを観察しました。 ### 横展開と永続化 攻撃には、ネットワーク全体での横展開を容易にするための認証情報ダンプも含まれていました。韓国の電子機器メーカーを標的とした侵入では、**MuddyWater**はPowerShellベースの偵察を繰り返し実行し、DLLサイドローディングのペアを再実行してアクセスを維持しました。 ### イランの制裁と広範なサイバー活動 欧州理事会は最近、スウェーデンのSMSサービスへのハッキング、フランスの加入者データベースへのアクセス、2024年パリオリンピック期間中の偽情報の拡散により、イランの企業**Emennet Pasargad**に対して制裁を課しました。 **Emennet Pasargad**（Shahid Shushtariとしても知られ、イランのイスラム革命防衛隊サイバー・電子コマンド（IRGC-CEC）と提携している）は、米国企業および政府機関に重大な経済的損害と混乱をもたらしたことが関連付けられています。 イラン支援のハッカーは、米国、イスラエル、サウジアラビア、トルコの組織を標的としたデータ漏洩キャンペーンにも関連付けられています。これらのインシデントは**Ababil of Minab**という親イランのペルソナによって主張されましたが、**Gambit Security**の分析では、キャンペーンインフラストラクチャがイラン情報・保安省（MOIS）に関連付けられています。 ### FileFiend：データ漏洩ツール このキャンペーンでは、社内コードネームFileFiendという、C++で作成されたカスタムのファイル収集およびデータ漏洩ツールが使用されました。このツールは、ローカルドライブとSMB共有を列挙し、ファイルシステムをウォークし、ファイルをハードコードされたC2サーバーに送信することができました。 あるいは、関心のあるデータはRARアーカイブに圧縮され、組織の公開ウェブサイトにアップロードされ、そこからAxelコマンドラインダウンロードアクセラレータを使用して抽出され、proxychainsを介してトンネリングされました。