MuddyWaterによる偽旗ランサムウェア攻撃

イラン政府が支援する脅威グループ「MuddyWater」（Mango Sandstorm、Seedworm、Static Kittenなどの別名でも追跡されている）は、捜査当局が偽旗作戦と表現する高度なランサムウェア攻撃に関与していることが判明した。当初、この侵入はChaosランサムウェアを使用した従来のランサムウェア・アズ・ア・サービス（RaaS）攻撃に類似していたが、詳細な分析の結果、金銭目的の恐喝を装った国家主導の標的型サイバー攻撃の特徴が明らかになった。

2026年初頭に確認されたこの攻撃は、Microsoft Teamsを通じたソーシャルエンジニアリングを多用していた。攻撃者は被害者と高度にインタラクティブなやり取りを行い、画面共有機能を利用して認証情報を収集し、多要素認証プロセスを操作した。アクセス権を取得した後、攻撃者は大規模なファイル暗号化といった従来のランサムウェアの手法を放棄し、代わりにデータ窃盗、巧妙な永続性、リモート管理ユーティリティを通じた長期的なネットワークアクセスに注力した。

国家の活動を隠蔽するために用いられるサイバー犯罪の手法

研究者らは、このキャンペーンは、サイバー犯罪のエコシステムで一般的に用いられるツールや技術を採用することで、MuddyWaterが意図的に犯人特定を困難にしようとしていることを反映していると考えている。同グループは、CastleRATやTsundereといったツールを含む、市販のアンダーグラウンドマルウェアやリモートアクセスフレームワークを活動にますます組み込んでいる。

この戦術は、スパイ活動と破壊活動をランサムウェア型の攻撃と組み合わせた、過去のMuddyWaterのキャンペーンと一致する。2020年には、PowGoopローダーを使用してThanosランサムウェアの破壊的な亜種を展開し、イスラエルの主要組織を標的にした。2023年には、Microsoftが、ランサムウェア攻撃を装った攻撃において、DarkBitというペルソナに関連付けられている攻撃者DEV-1084とこのグループを関連付けた。2025年末までに、イラン関連の攻撃者が、イスラエル政府系病院に対してQilinランサムウェアを使用した疑いも持たれている。

セキュリティ研究者らは、今回の攻撃キャンペーンは、イラン関連の組織が確立されたサイバー犯罪インフラを通じて活動し、より広範な地政学的目標を追求した可能性が高いと結論付けた。Qilinの使用とランサムウェア関連組織のエコシステムへの参加は、攻撃者が作戦上の隠れ蓑、責任逃れ、高度な攻撃能力へのアクセスを確保するとともに、強化されたイスラエルの防衛監視を回避するのに役立ったと考えられる。

カオスRaaS：拡大する恐喝エコシステム

Chaosは2025年初頭に、攻撃的な二重恐喝戦術で知られるランサムウェア・アズ・ア・サービス（RaaS）組織として出現した。このグループは、RAMPやRehubComといったアンダーグラウンドのサイバー犯罪フォーラムでアフィリエイトプログラムを宣伝し、活動範囲を急速に拡大した。

カオス攻撃キャンペーンでは、メールの大量送信、音声フィッシング、Microsoft Teamsのなりすまし攻撃などが一般的に用いられ、攻撃者はITサポート担当者を装います。被害者はMicrosoft Quick Assistなどのリモートアクセスアプリケーションをインストールするように誘導され、攻撃者は企業環境内に足がかりを築いた後、権限を昇格させ、横方向に移動し、ランサムウェアを仕掛けます。

同グループは、ますます攻撃的な恐喝手法も用いている。

• データ窃盗と身代金要求による二重の恐喝
• 分散型サービス拒否（DDoS）攻撃の脅迫を伴う三重の恐喝
• 顧客、パートナー、または競合他社に接触すると脅迫するなど、被害者への圧力を強める四重の恐喝戦術

2026年3月までに、Chaosは情報漏洩プラットフォーム上で36の被害を被ったと発表しており、そのほとんどは米国に拠点を置く組織だった。建設業、製造業、ビジネスサービス業が特に標的となった業界に含まれていたようだ。

侵入の解剖学的構造

調査対象となった侵入において、攻撃者は従業員との外部Microsoft Teamsでの会話を開始し、信頼関係を築き、画面共有セッションを促した。その後、侵害されたユーザーアカウントは、偵察、永続的なアクセス、横方向の移動、およびデータ漏洩に悪用された。

攻撃者は、被害者のシステムに接続している間、偵察コマンドを実行したり、VPN関連ファイルにアクセスしたり、ユーザーにローカルで作成したテキスト文書に認証情報を手動で入力するよう指示したりした。いくつかのケースでは、リモートアクセス機能を強化するためにAnyDeskがインストールされていた。

攻撃者はさらに、リモートデスクトッププロトコル（RDP）を使用して、curlユーティリティで外部サーバーアドレス172.86.126.208から「ms_upd.exe」という名前の実行ファイルを取得しました。マルウェアが起動されると、追加の悪意のあるコンポーネントを展開し、永続的なコマンド＆コントロール通信を確立するように設計された多段階の感染チェーンが開始されました。

キャンペーンの背後にあるマルウェア兵器庫

感染経路には、永続性を維持しリモートコマンドを実行するために連携して動作する、複数の異なるマルウェアコンポーネントが組み込まれていた。

• 'ms_upd.exe' (Stagecomp) はシステム情報を収集し、コマンド＆コントロールサーバーに接続して、'game.exe'、'WebView2Loader.dll'、'visualwincomp.txt' などの二次ペイロードをダウンロードしました。
• 「game.exe」（Darkcomp）は、公式のWebView2APISampleプロジェクトを基に、正規のMicrosoft WebView2アプリケーションを装ったカスタムリモートアクセストロイの木馬として機能しました。

• 「WebView2Loader.dll」は、Microsoft EdgeのWebView2機能に必要な正当な依存関係として機能しました。

• 「visualwincomp.txt」には、RATがコマンド＆コントロールインフラストラクチャを識別するために使用する暗号化された構成データが含まれていました。

いったんアクティブになると、このリモートアクセス型トロイの木馬は60秒ごとにコマンドサーバーと継続的に通信し、攻撃者がPowerShellスクリプトを実行したり、システムコマンドを実行したり、ファイルを操作したり、対話型のコマンドラインセッションを開始したりすることを可能にする。

この作戦とマディウォーターを結びつける証拠

MuddyWaterへの帰属は、「Donald Gay」に関連付けられたコード署名証明書の発見によって強化された。この証明書は、「ms_upd.exe」マルウェアサンプルの署名に使用されていた。同じ証明書は以前にもMuddyWaterマルウェアに関連付けられており、Fakesetとして知られるCastleLoaderダウンローダーの亜種も含まれていた。

研究者らは、今回の作戦が国家主導の諜報活動とサイバー犯罪者の作戦手法との間に顕著な類似性を示したと指摘した。ランサムウェアのブランディング、恐喝交渉、市販のマルウェアフレームワークの統合により、犯人特定が困難になり、防御側の注意はリモートアクセスツールを通じて確立された長期的な永続化メカニズムではなく、即時の身代金要求対応活動へと向けられた。

なぜこの攻撃は際立っていたのか

このキャンペーンで最も異例な点の1つは、Chaosランサムウェアの痕跡が使用されたにもかかわらず、広範囲にわたるファイル暗号化が見られなかったことである。この標準的なランサムウェアの挙動からの逸脱は、ランサムウェアが主要な任務目的ではなく、主に偽装または作戦上の陽動として機能したことを強く示唆している。

このキャンペーンはまた、イランの脅威アクターの間で、サイバー犯罪ツールを国家主導の作戦に組み込む傾向が強まっていることを浮き彫りにしている。MuddyWaterのようなグループは、既存のアンダーグラウンドインフラやマルウェアのエコシステムを活用することで、作戦の柔軟性を高め、内部開発コストを削減し、防御側と情報分析官双方にとって攻撃者の特定を著しく困難にしている。