フランスのセキュリティ企業HarfangLabは、イランの国家利益に沿うとみられる脅威アクターが、人権侵害の記録に関わるNGOや個人を狙う攻撃を報告しました。起点はZIP内のExcelマクロで、GitHub/Google Drive/Telegramを組み合わせて機能を段階的に取得する点が特徴です。
The Hacker News:Iran-Linked RedKitten Cyber Campaign Targets Human Rights NGOs and Activists
この記事のポイント
影響のあるシステム
- 人権侵害の記録・調査に関わるNGO、活動家、関連する個人(標的として言及)
- 7-Zipアーカイブに含まれるMicrosoft Excelのマクロ有効ファイル(XLSM)を扱う端末
- ExcelのVBAマクロを有効化できる環境(ユーザー操作を起点に感染が進むと説明)
- 外部サービス(GitHub、Google Drive、Telegram)への通信が許可されているネットワーク
- WhatsApp/Gmailの偽ログインページ(QRコードや2FA認証)に誘導される利用者(同時期に報告された別個のキャンペーンとして言及)
推奨される対策
- ZIP/7z等のアーカイブ添付に含まれるXLSMを安易に開かず、VBAマクロを有効化しない運用を徹底する
- 業務端末での不審なExcelマクロ実行や、未知のDLL/実行ファイルの生成・読み込みの兆候を監視する
- GitHub/Google Drive/Telegramを経由した不自然な設定取得・モジュール取得の通信を可視化し、異常を検知できるようにする
- 端末上の「2時間ごとの実行」など不審なスケジュールタスク作成(永続化)の痕跡を点検する
- 【関連する脅威への対策】 WhatsApp/Gmailの偽ログインページでQRコードや2FAコード入力を促される手口(Gharib氏による報告)があるため、リンクの真正性確認とブラウザへの権限要求(カメラ/位置情報等)を安易に許可しないよう周知する
上記の対策は、元記事の事実に基づき日本の読者向けに整理したものです。
この記事に出てくる専門用語
- RedKitten:HarfangLabが命名した、本件攻撃キャンペーンのコードネームです。
- SloppyMIO:記事中で言及されるバックドア(マルウェア)の呼称です。
- VBAマクロ(XLSM):Excelに組み込める自動処理コードで、悪用されると端末上で不正処理の起点になることがあります。
- AppDomainManager injection:記事中で言及される手法で、マクロがC#ベースのインプラント(DLL)を展開する際に利用されたと説明されています。
- ステガノグラフィ(Steganography):画像などに情報を埋め込み、見た目では分かりにくい形で設定情報を取り出す技術です。
- デッドドロップ(dead drop resolver):攻撃者が直接C2を固定せず、外部サービスを介して次の取得先(URL等)を参照する仕組みとして説明されています。
- Telegram Bot API:Telegramのボット機能を利用するための仕組みで、本件ではC2通信に使われたと説明されています。
- LLM(Large Language Model):大規模言語モデル。記事ではVBAコードの文体やコメント等から、生成AIの関与が疑われる点が述べられています。
被害シナリオと狙い
報告された攻撃「RedKitten」は、社会的にセンシティブな出来事に関心を持つ人を心理的に揺さぶり、感染の連鎖を成立させる構図として説明されています。
起点は、ファイル名がペルシャ語の7-Zipアーカイブで、その中にマクロを含むMicrosoft Excel文書(XLSM)が入っていたとされます。
文書は「2025年12月22日から2026年1月20日にかけてテヘランで亡くなった抗議参加者の情報」を含むように見せかけていましたが、年齢や生年月日の不整合などから、内容が捏造の可能性があると分析されています。
ユーザーがマクロを有効化すると、VBAマクロがドロッパーとして動作し、C#ベースのインプラント(AppVStreamingUX_Multi_User.dll)を展開する流れが述べられています。
感情的な切迫感を利用して操作を促す点が、本件のリスクとして示されています。
外部サービスを組み合わせたマルウェア運用
記事では、バックドア「SloppyMIO」がGitHubとGoogle Driveを設定取得やモジュール取得に利用し、Telegramをコマンド&コントロール(C2)として使う点が特徴として挙げられています。
GitHubはデッドドロップとして機能し、そこからGoogle Drive上の画像URLを取得し、画像に埋め込まれた設定情報(Telegramボットトークン、チャットID、モジュールへのリンクなど)をステガノグラフィで取り出すと説明されています。
さらに、複数モジュールを遠隔から取得・キャッシュし、コマンド実行やファイル収集・送信、追加ペイロードの展開、スケジュールタスクによる永続化などを行えるとされています。
対応モジュールとして、cmd.exeを用いたコマンド実行(cm)、ファイル収集とZIP化(do)、画像に埋め込んだデータを使ったファイル書き込み(up)、2時間ごとの実行タスク作成(pr)、プロセス開始(ra)が列挙されています。
加えて、Telegram Bot APIを介して状況通知・命令受信・結果送信を行うと述べられており、追跡を難しくする一方で、外部サービス利用の痕跡が運用上の弱点にもなり得るという指摘が紹介されています。
日本の組織が直ちに確認すべき点
本件は特定の脆弱性(CVE等)への依存ではなく、LLM(生成AI)を悪用したとみられるコード作成や、標的の心理を突く手口が特徴です。
まず、メールやメッセージ経由で届くアーカイブ(7z/zip)内のXLSMや、マクロ有効化を促す文書運用が存在しないかを見直すことが重要です。
攻撃の流れとしては、マクロが感染開始の鍵になるため、利用部門に「マクロを有効化しない」判断基準を明文化し、例外運用を最小化することが現実的です。
次に、GitHub/Google Drive/Telegramといった一般的なサービスが攻撃チェーンに組み込まれる点を踏まえ、業務上の正当な利用と、設定取得・モジュール取得・C2に見える不自然な通信を区別できるログ設計が求められます。
端末側では、未知のDLLの生成や読み込み、さらに「2時間ごとに実行」など不審なスケジュールタスクの追加が説明されているため、点検観点として組み込む価値があります。
あわせて、元記事では周辺の脅威情報として、WhatsApp Webの偽ログイン(QRコード)や、Gmailの偽ログインでパスワードと2FAコードをだまし取る事例も紹介されており、リンクの真正性確認と権限要求(カメラ・マイク・位置情報)への警戒を改めて周知することが、被害抑止につながる可能性があります。
参考文献・記事一覧
- The Hacker News
- HarfangLab(RedKittenに関するレポート)
- Nariman Gharib(WhatsApp関連の脅威レポート)
- TechCrunch(関連キャンペーンの追加報道)
投稿者プロフィール
- CyberCrew(サイバークルー)は、企業の情報セキュリティをトータルで支援する専門チームです。高度なスキルを持つホワイトハッカーが在籍し、サイバー攻撃の監視・検知から初動対応、リスク診断や従業員向けのセキュリティ教育まで、幅広いサービスを提供。企業のニーズに応じた柔軟な対応で、安心・安全なIT環境の実現をサポートします。
