イラン系APTが対イラン米軍作戦 Operation Epic Furyに連動し航空・ソフトウェア企業へサイバー攻撃

セキュリティニュース

投稿日時: 更新日時:

イラン系APTが対イラン米軍作戦 Operation Epic Furyに連動し航空・ソフトウェア企業へサイバー攻撃

イランのイスラム革命防衛隊(IRGC)に関連するAPTグループ「Nimbus Manticore」(別名:UNC1549・Screening Serpens)が、米国とイスラエルによる対イラン軍事作戦「Operation Epic Fury」(2026年2月28日発動)に連動した形で航空・ソフトウェア分野の組織を対象とする3段階の攻撃キャンペーンを2026年2月〜4月にかけて実施したことが、Check Point Researchの包括的な分析レポート「Fast and Furious – Nimbus Manticore Operations During the Iranian Conflict」(2026年5月22日公開)によって明らかになりました。

今回のキャンペーンでは、未文書化の新バックドア「MiniFast」の初登場、偽ZoomインストーラーによるAppDomainハイジャック、そして同グループが初めて使用したSEOポイズニング(検索エンジン最適化を悪用したマルウェア配布)という3つの重要な技術的変化が確認されています。さらにMiniFastの開発コードにはAIツールを活用した可能性を示す複数の証拠が残されており、「戦時下でもAI支援を活用して新たなツールを迅速に開発・適応させる能力」を実証するものとなっています。

この記事のサマリー

  • 脅威グループ:Nimbus Manticore(別名:UNC1549・Screening Serpens)——IRGC(イスラム革命防衛隊)系APT。航空・防衛・通信セクターへのキャリア型フィッシングで知られる。
  • キャンペーンの時期:2026年2月〜4月(米国の対イラン軍事作戦Operation Epic Furyの前後・最中)
  • 標的地域:米国・欧州・中東
  • 標的業種:航空・ソフトウェア・防衛・通信
  • 3つのキャンペーン波
    • Wave 1(2月):OnlyOffice経由の偽求人ZIP+AppDomainハイジャック(MiniJunk更新版)
    • Wave 2(3月):偽ZoomインストーラーによるAppDomainハイジャック+新バックドアMiniFast
    • Wave 3(4月):Oracle SQL Developer偽サイト(getsqldeveloper[.]com)を用いたSEOポイズニング(同グループ初の使用)
  • MiniFastの特徴:64ビットWindows DLL。C2通信はJSON形式・ChromeブラウザになりすましたUser-Agent偽装。シェル実行・ファイル転送・プロセス制御・スケジュールタスク永続化に対応。AI支援開発の痕跡あり
  • 証明書の悪用:SSL.comの有効なデジタル署名(Gray Matter Software S.R.L.Kirubel Kerie Negeya)を使用してセキュリティソフトの検知を回避。
  • 重要な含意:「軍事衝突下でも高い作戦継続性を維持しAIを活用して迅速にツールを刷新する国家支援APTの能力」が実証された。

地政学的背景—Operation Epic Furyとイランのサイバー報復

軍事作戦とサイバー作戦の連動

今回のキャンペーンを理解する上で不可欠な背景は、2026年2月28日に米国とイスラエルが共同でイランを標的とした航空攻撃作戦「Operation Epic Fury」を発動したという地政学的事件です。security.comが報告するように、この作戦ではイランの最高指導者アリー・ハーメネイー師も3月1日の空爆で死亡したとされており、中東における地政学的緊張が極限まで高まりました。

Check Point Researchのレポートは「Nimbus ManticoreはOperation Epic Furyの最中においても作戦を継続し、難しい環境下でも迅速に適応・インフラを維持・新ツールを開発する強い能力を示した」と評価しています。同グループの3波にわたるキャンペーンは、軍事作戦の開始前(Wave 1)・最中(Wave 2)・後(Wave 3)に対応しており、イランの国家サイバー部隊が軍事衝突下でも高い作戦継続性を維持することが改めて証明されました。

関連:米国の対イラン作戦でサイバー領域が先行-作戦開始前にサイバー攻撃で対象の通信・センサー網を攪乱

Wave 1(2026年2月)——AppDomainハイジャックの初採用と偽求人フィッシング

従来のDLLサイドローディングからAppDomainハイジャックへ

Check Point Researchの分析によれば、2026年2月のキャンペーンでNimbus Manticoreは従来使用していたDLLサイドローディングに代わり、AppDomainハイジャック(AppDomain Hijacking)という新しい実行手法を採用しました。

AppDomainハイジャックは正規の.NETアプリケーションを悪用してマルウェアのDLLを起動時に読み込ませる手法です。攻撃者はターゲットアプリケーションと同じディレクトリにトロイ化されたXML .configファイルを設置します。このファイルは攻撃者が制御するAppDomainManagerクラスを指定し、アプリケーション起動時に.NETランタイムが悪性DLLをロードします。これにより、信頼されたプロセスのコンテキスト内で悪性コードが実行されるという、セキュリティソフトによる検知を困難にする特性があります。

攻撃の具体的な手順

攻撃の流れとして、標的(主にソフトウェア・航空セクターの従業員)に偽のキャリア機会を装ったフィッシングメールが送付されました。標的はOnlyOfficeプラットフォームにホストされた圧縮ZIPアーカイブをダウンロードするよう誘導されます(Accentureの求人機会を装ったZIPファイル)。ZIPには以下のファイルが含まれていました。Setup.exe(Microsoftが署名した正規バイナリ)・Setup.exe.configuevmonitor.dllを指定するAppDomainハイジャック設定ファイル)・uevmonitor.dll(第1段階ドロッパー)・Interop.TaskScheduler.dll(正規DLL)です。

setup.exeが実行されるとuevmonitor.dllがロードされ、暗号化された次段階ペイロードをC:\Users\<USER>\AppData\Local\Packages\に展開します。最終ペイロードは従来からのMiniJunkバックドアの更新版です。第1段階ローダーはSetup.exeプロセスによってのみロードされたことを検証し、「Couldn’t connect to survey server(サーベイサーバーに接続できませんでした)」という偽のエラーメッセージを表示してユーザーの疑念を払拭します。

Wave 2(2026年3月)——偽ZoomインストーラーとMiniFastの初登場

Operation Epic Fury最中に新バックドアを展開

Operation Epic Fury が進行する中、Nimbus Manticoreは攻撃手法をさらに高度化しました。Check Point Researchによれば、このキャンペーンでは偽Zoomインストーラーを使用した攻撃チェーン(偽の会議招待フィッシングキャンペーンの一部と推定)と、MiniJunkを代替する新バックドアMiniFastが初めて登場しました。

Zoomスケジュールタスクのハイジャックによる永続化

攻撃ファイル一式はZoominstall64.zipに格納されており、以下が含まれています。Setup.exe(Microsoft署名の正規バイナリ・ServiceHub.VSDetouredHost.exeを改名)・Setup.exe.configInitInstall.dllを指定するAppDomainハイジャック設定)・InitInstall.dll(第1段階ローダー)・Zoom_cm.exe(正規のZoomインストーラー)・UpdateConfig.xmlUpdater.dllを指定するAppDomainハイジャック設定)・Updater.dll(第2段階ローダー)・UpdateChecker.dll(最終バックドアペイロード:MiniFast)です。

特に巧妙なのは永続化の手法です。第1段階ローダーは起動後に約1分間のループに入り、正規のZoomインストーラーが作成するスケジュールタスク(ZoomUpdateTaskUser-<現在のユーザーSID>という形式)の生成を監視します。タスクが作成された瞬間にこのタスクをハイジャックして第2段階コンポーネントを実行するよう改ざんします。新たな不審なタスクを作成するのではなくZoomの既存タスクを悪用することで、正規のシステム活動に紛れ込んで検知を困難にしています。

第2段階ローダーも同様に、update.exeがホストプロセスであり親プロセスがsvchost.exeであることを検証するアンチサンドボックス・アンチ動的解析チェックを実装しています。

有効な証明書を使った署名

今回のキャンペーンで使用されたファイルの多くはSSL.comを通じた有効なデジタル署名を持っており、以下の少なくとも2つの証明書が使用されました。Gray Matter Software S.R.L.Kirubel Kerie Negeyaです。これは2025年のCheck Point報告書で文書化した信頼済み署名インフラの悪用パターンの継続です。

新バックドア「MiniFast」の詳細

設計とC2通信

Check Point Researchの詳細分析によれば、MiniFast(別名:MiniUpdate)は以下の特徴を持つフル機能のバックドアです。

アーキテクチャとして、64ビットWindows PE DLL。エクスポート関数はCheckForUpdates(単一のメインエントリポイント)のみです。C2通信として、API形式のアーキテクチャでJSON形式のデータを交換します。ネットワークトラフィックを正規のものに見せるため、Chromeブラウザを偽装した以下のハードコードUser-Agentを使用します:Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/...サポートするコマンドとして、シェル実行・ファイル転送・プロセス制御・スケジュールタスク永続化が実装されています。初期通信として、タスキングループに入る前に、オペレーターにシステムの基本情報(ホスト名等)をビーコン送信します。進化中のマルウェアとして、複数のサンプル分析により同バックドアが活発な開発継続中であることが確認されており、グループがImplantを継続的に修正・改良していることを示しています。

AI支援開発の痕跡

Check Point Researchが特に注目したのは、MiniFastのコードにAIツールを使用した可能性を示す複数のパターンが存在することです。過剰なエラーハンドリングと防衛的プログラミングロジック(GetUserNameのような単純なAPI呼び出しにも適用)、説明的または冗長な識別子を含む繰り返しの関数・メソッド命名パターン、複数の詳細なエラー報告文字列とデバッグスタイルのステータスメッセージ、全体的な単純さにもかかわらずモジュール化されたコード構成が確認されています。

Check PointはこれらのパターンがAI生成またはAI支援コードの使用を強く示唆していると評価しており「これにより脅威アクターは戦時中も高い作戦継続性を維持しながら、ツールを迅速に開発・適応させることが可能となった」と述べています。

Wave 3(2026年4月)——SEOポイズニングによる初の検索エンジン攻撃

Oracle SQL Developerを偽装した悪性ダウンロードサイト

2026年4月のキャンペーンで、Nimbus Manticoreはそれまでに使用したことのない全く新しい配信手法を採用しました。SEOポイズニング(検索エンジン最適化を悪用したマルウェア配布)です。

攻撃者はOracle社の正規のデータベースツール「SQL Developer」の偽ダウンロードページとしてgetsqldeveloper[.]comという悪性サイトを作成しました。このサイトの検索順位を上げるため、グループは数十のドメインを登録してリンクベースの評判シグナルを操作しました。Check Point Researchによれば分析時点でこのサイトはSQL Developer関連の検索クエリにおいてBingおよびDuckDuckGoで高い検索順位を獲得していました。

Infosecurity Magazineの報道によれば、このキャンペーンでは従来のキャリア型フィッシングルアーを捨て、ソフトウェアダウンロードという別の人間の行動(正規ソフトウェアを検索してダウンロードする行為)を悪用した点が重要な戦術的進化を示しています。なお本キャンペーンではMiniJunk V2が使用されたとThe Hacker Newsは報告しています。

Nimbus Manticoreが示す「戦時APT」の脅威モデル

今回の3波キャンペーンには、国家支援APTの脅威評価において重要な含意が複数あります。

軍事衝突下での高い作戦継続性として、通常の軍事衝突はサイバー部隊の活動を抑制すると考えられることがありますが、Nimbus ManticoreはOperation Epic Furyの最中においても攻撃を継続・強化しました。これはイランのIRGCがサイバー作戦を通常の軍事作戦と並行して継続するための独立したインフラと要員を保持していることを示しています。

AIを活用した迅速なツール刷新として、MiniFastの開発にAI支援を活用した痕跡は、国家支援APTが一般に利用可能なAIツールをマルウェア開発のサイクル短縮に活用し始めているという広い傾向と一致しています。「AIによって攻撃側の開発コストと時間が大幅に短縮される」という懸念が実際のAPTキャンペーンで裏付けられた形です。

正規インフラの組織的悪用として、OnlyOffice(ファイルホスティング)・SSL.com(コード署名証明書)・Zoomの正規タスクスケジューラーというすべて正規のサービスを悪用することで、ネットワーク検知とセキュリティソフトによる検知の両方を困難にしています。

侵害の痕跡(Indicators of Compromise)

種別 備考
悪性ドメイン getsqldeveloper[.]com Oracle SQL Developerを偽装した悪性ダウンロードサイト(Wave 3)
ファイル名 Zoominstall64.zip Wave 2の悪性ZIPアーカイブ
ファイル名 InitInstall.dll Wave 2の第1段階ローダー
ファイル名 Updater.dll Wave 2の第2段階ローダー
ファイル名 UpdateChecker.dll MiniFast最終ペイロード
ファイル名 uevmonitor.dll Wave 1の第1段階ドロッパー
証明書名 Gray Matter Software S.R.L. Wave 2で使用されたSSL.com証明書
証明書名 Kirubel Kerie Negeya Wave 2で使用されたSSL.com証明書
User-Agent Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/... MiniFastのC2通信でのChromeブラウザ偽装
ペイロード保存先 C:\Users\<USER>\AppData\Local\Packages\ Wave 1の次段階ペイロード展開先
ペイロード保存先 C:\Users\<USER>\AppData\Local\Zoom\bin\update\ Wave 2の次段階ファイル展開先

防御側が取るべき対応

AppDomainハイジャックの検知強化として、.NETアプリケーションと同じディレクトリに配置される不審な.configファイル、特に正規のWindowsバイナリ(Setup.exe・Update.exe等)に対応する.configファイルの生成を監視してください。

スケジュールタスクの異常変更の監視として、特にZoom・Microsoft Teams等の正規アプリケーションが作成するスケジュールタスクへの予期しない変更を検知するための監視ルールを整備してください(Windows Event ID 4698・4702)。

SEOポイズニングへの意識向上として、組織の従業員(特にソフトウェアエンジニア・IT担当者)に対して、有名なソフトウェアの公式ダウンロードページを検索エンジンではなく必ず公式ウェブサイトのURLから直接アクセスするよう教育してください。

航空・防衛・通信業界への特段の注意喚起として、これらのセクターに属する組織はNimbus Manticoreの歴史的な標的であり、「キャリア機会」「会議招待」「ソフトウェアダウンロード」を装ったメールや検索結果には特別な注意を払ってください。


参考情報(1次ソース)