イランAPT Screening Serpensによる2026年スパイ キャンペーンの追跡

エグゼクティブ サマリー

Unit 42の研究者は、イランに関連する高度な持続的脅威(APT攻撃 -APT)グループであるScreening Serpens(別名UNC1549、Smoke SandstormおよびIranian Dream Job)によるサイバー攻撃の証拠を特定しました。Unit 42が把握している範囲に基づくと、このグループは米国、イスラエル、アラブ首長国連邦の組織、さらに中東の2つの追加組織をターゲットにした可能性が高いと考えられます。

この調査は、2026年2月中旬から4月にかけて発生したサイバー攻撃の進展を追跡したものです。これらのキャンペーンの時期は、2026年2月28日に中東で始まった地域紛争の時期と密接に一致しています。私たちは、2026年2月から4月にかけて開発・展開された6つの新しいリモート アクセス型トロイの木馬(RAT)バリアントを発見しました。

Screening Serpensは、少なくとも2022年から活動しています。同グループの最近の活動は、技術力および運用レジリエンスの向上を示しています。

Screening Serpensは主にテクノロジー分野の専門家をターゲットとし、高度に作り込んだソーシャル エンジニアリングを使用しています。このグループは、信頼できるブランドや採用プラットフォームを偽装した個別化された採用関連の誘導を頻繁に使用し、ターゲットをだまして感染チェーンを開始させます。

この記事で議論されているキャンペーンは、Screening Serpensによって実施されていると、中～高程度の確信をもって評価しています。同グループは、2026年3月から4月にかけて、一貫して高い運用テンポを維持してきました。

私たちは、最近発見された6種類のRATバリアントを、並行して行われたスパイ活動キャンペーンで展開された2つの新しいマルウェア ファミリーに分類しました。展開のタイミングに基づく分析の結果、2系列の連携したサイバー攻撃が示されました。少なくとも1つのバリアントは、特定のタイミング指示に従い、コンパイルおよび展開されていました。

分析の結果、各ターゲット キャンペーンの分析から明らかなように、多様な機能を持つ特化型かつ高度化されたバリアントによる、継続的な開発・展開サイクルが明らかになりました。

同グループの最近のキャンペーンにおける最も重要な進化は、AppDomainManagerハイジャックと呼ばれる手法を使用している点です。このハイジャック手法は、.NETアプリケーションの初期化フェーズを操作し、正規の設定ファイルを介してアプリケーション自身のセキュリティ メカニズムを事前に無効にします。これらのアプリケーションでは、セキュリティ機能が無効化されていたため、ターゲットとなる組織は展開された多機能RATに対して脆弱な状態に置かれていました。

パロアルトネットワークスのお客様は、以下の製品とサービスによって、この記事で取り上げる脅威への保護を強化できます:

• Advanced WildFire
• Advanced URL FilteringおよびAdvanced DNS Security
• Cortex XDRおよびXSIAM
• Cortex Cloud

Cortex AgentiX エージェンティック アシスタントは、インシデント調査を行うチームを支援します。

侵害を受けている可能性がある場合、または緊急を要する場合は、Unit 42インシデント レスポンス チームまでご連絡ください。

Unit 42の関連トピック

持続的標的型脅威（APT）, マルウェア, サイバースパイ活動, RATs

Screening Serpensの概要

Screening Serpensは、イランの情報機関の目的に沿って活動する、イラン関連のサイバー スパイ活動APTグループです。歴史的には中東の地域ターゲットに重点を置いていましたが、2025年末にCheck Point Researchがその西ヨーロッパへの戦略的拡張を詳述したことで、業界の注目を集めました。

これらのキャンペーンで、Screening Serpensは一貫して重要セクターをターゲットとしており、航空宇宙、防衛製造、通信組織を重点的に攻撃しました。これらの活動は、主要セクターの求職者を騙すために特別に設計された誘導を使用するターゲット型のソーシャル エンジニアリング キャンペーンを特徴としています。

2026年2月から4月にかけて、最近の地域紛争の期間中にScreening Serpensが展開した6種類の新たなリモート アクセス型トロイの木馬(RAT)バリアントを特定しました。VirusTotalのメタデータに基づくと、これらのサンプルは、米国、イスラエル、UAE、さらには他の2つの中東の組織をターゲットに使用された可能性があります。これらサンプルは2つの異なるマルウェア ファミリーに分類されます:

• 私たちがMiniUpdateと呼んでいる、新たに発見されたマルウェア ファミリー
• MiniJunkとして追跡している、MiniJunk V2というマルウェア ファミリーの進化版

両ファミリーは、攻撃者の既存のプレイブックを直接踏襲しています。彼らの感染チェーンは、DLLサイドローディングを利用して実行するターゲット型のスピア フィッシング攻撃から始まります。脅威アクターは、主にAzureでホストされる、各ターゲットとバリアントに専用の3から5の固有ドメインを通じてコマンド＆コントロール(C2)トラフィックをルーティングします。この技術は、交差汚染を防ぎ、運用レジリエンスを向上させます。

最近のサイバー活動のタイムライン

最近のScreening Serpensキャンペーンにおけるイベントのタイムラインは以下のとおりです:

• 2025年後半、Screening Serpensはターゲットを西ヨーロッパへ拡大。
• 2026年2月中旬、中東のターゲットに対するペイロード配信の痕跡を特定。
• 2026年3月下旬、米国およびイスラエルの組織からVirusTotalへアップロードされたサンプルを特定。
• 2026年4月中旬、UAEおよび中東の別組織に関連する追加サンプルを発見。

図1は、キャンペーンの準備段階から、地域紛争の勃発後に協調的な攻撃活動が急増するまでの推移を示しています。

図1に示すように、3月26日、4月15日、4月17日にMiniUpdateファミリーのサンプルがアップロードされたことを確認しました。また、2月17日と3月27日のアップロードでMiniJunk V2ファミリーのサンプルがアップロードされたことを確認しました。

分析では、最初にMiniUpdateファミリーを取り上げ、その後MiniJunk V2の詳細について説明します。

MiniUpdate RAT分析

Check Pointの初期レポートを受けて、既知のScreening Serpensアーティファクトの特定のファイル名(Hiring Portal.zip)を起点とした調査をすすめました。その結果、最近の紛争期間中に攻撃者が展開した2系列の連携した攻撃で使用された4つのサンプルを発見しました。VirusTotalのメタデータによると、キャンペーンが2026年3月26日に米国とイスラエルの組織を、そして最近では2026年4月15日と17日にUAEおよび中東の別組織をターゲットにしていた可能性があります。

このマルウェア ファミリーを、これらのペイロード内で確認された内部ファイル名にちなみ、MiniUpdateと命名しました: UpdateChecker.dll。

2系列の連携した攻撃を比較することにより、1ヶ月の間にマルウェアの能力が継続的に改良されていることを確認しました。私たちが特定したサンプル間の違いは、オペコードマッピングや最新のバリアントにおけるファイルの分割流出機能など、特定機能に対する表面的な変更にとどまっていました。マルウェア バリアント間の最も重要な違いは、C2ドメインのローテーションです。これらのアクティブな調整は確認できたものの、マルウェア自体に大きな進化は確認されませんでした。

ミニアップデート: 3月の米国キャンペーン

攻撃者は、グローバル航空会社を装ったキャンペーンの一環として、このバリアントをアーカイブファイルを介して配信しました。このマルウェアの展開は、2026年3月26日以前には確認されていません。

初期配信とターゲットを絞った採用誘導

アーカイブの内容を分析した結果、技術者を明確に対象とした、作り込まれたソーシャル エンジニアリングのトラップが確認されました。ZIPファイルには、6つのPDF文書と共にネストされたペイロード アーカイブ(Hiring Portal.zip)が梱包されています。

これらのPDFは、高位のITおよびエンジニアリング職(例: Senior Software Engineer Job ID JR205894.pdf)をターゲットにした求人票です。攻撃者は、具体的な求人IDを記載することで正規の企業採用応募を模倣し、ターゲットが求人内容を確認し、ネストされたHiring Portal.zipを展開する可能性を高めていました。

ターゲットは、応募ポータルまたは技術評価にアクセスしていると思い込んでいたと考えられます。このキャンペーンにおいて、グローバル航空会社のインフラへの侵害を示す痕跡は見つかりませんでした。なりすましは、その名称とブランドを使用することに限られていました。

図2は、偽造された求人に関する全文書とHiring Portal.zipアーカイブを示しています。

図3は、このアーカイブからのSenior Software Engineer Job ID JR205894.pdfファイルの1つを示しており、詳細な職務要件が含まれています。

図4は、初期アーカイブ ファイルに含まれるHiring Portal.zipアーカイブの内容を示しています。

setup.exeを実行すると、図5に示すように、マルウェアはターゲットに対して正規のものであると信じ込ませるため、Hiring Portal.zipというタイトルの偽のエラー ウィンドウを表示します。

ミニアップデート: 3月のイスラエル キャンペーン

このバリアントは、一般的に利用されているビデオ会議プラットフォームのインストール ファイルを装ったアーカイブ ファイル経由で配信されました。分析によれば、このバリアントは2026年3月26日以前には確認されておらず、イスラエルの組織をターゲットとして展開されたとみられます。

ソーシャル エンジニアリングと初期アクセス

2026年3月のVirusTotalへの連続したアーティファクトのアップロードの分析の結果、Screening Serpensによるソーシャル エンジニアリング戦術の実態が明らかになりました。脅威アクターは、信憑性の高い誘導を行うため、ターゲットと積極的に接触していました。これらのアップロードのタイムラインを関連付けることで、攻撃の流れを時系列で把握できます:

• 信頼関係の構築: ターゲットは、本物のビデオ会議リンクを複数受信していた可能性があり、これはフィッシング キャンペーン中に信頼を構築することが目的だったとみられます。
• 初期誘導: 攻撃者は、正規リンクの送付によって構築された信頼関係を悪用し、ターゲットの侵害を試みるための正規サイトを装ったドメインを提供しました: hxxps[:]//[redacted][.]live/meeting/edcdba624ddb43c2a1dcf334aa493068

応答を調べた結果、本物の会議招待を模倣するよう設計されたフィッシング用ランディング ページが確認されました。そのページは、ブランドで見慣れたデザインを使用しており、「職場アプリから参加」ボタンが含まれています。この模倣されたフロントエンド デザインの目的は、予定された会議に参加するにはクライアント ソフトウェアのインストールまたは更新が必要であるとターゲットに信じ込ませることにあります。

しかし、このページにはJavaScriptコード内に隠されたペイロードが含まれており、被害者のダウンロード リクエストを正規サーバから別の場所へリダイレクトします。もし被害者がページを操作すると、以下のURLを介してサードパーティ製ファイル共有サービスからペイロード配信が実行されます: hxxps[:]//2117.filemail[.]com/api/file/get?filekey=T0EnWQ6NugHkW_kLfDxPBEw_um6NSkg9ZwNRQ_5lrKrLLUo35pV8m3TKv1LqF3zZzdUm

• ペイロード配信: ターゲット型誘導によって、被害者はなりすましサイトから悪意のあるアーカイブをダウンロードするよう誘導されました。このファイルは、悪意のあるサイドローディング チェーンの配信アーカイブとして機能しました。
  攻撃者が、なりすまし対象組織のインフラやシステムを侵害したことを示す痕跡は確認されていません。彼らのブランドは、被害者に悪意のあるペイロードを手動で実行させるための、なりすまし目的にのみ使用されていました。

図6は、そのアーカイブの内容を示しています。最初の6つのファイルは実行チェーンの一部であり、最後のファイルはビデオ会議アプリケーションの正規のインストーラーです。

ミニアップデート: 4月中旬の中東キャンペーン

UAEおよび中東の別の国の組織をターゲットにした可能性のある攻撃の中で、2026年4月15日から4月17日の間にコンパイルされ、VirusTotalへアップロードされた2つの新しいMiniUpdateバリアントを特定しました。初期のローディング メカニズムは以前のバリアントと一貫しており、同じなりすましのおとりを利用していますが、このバージョンではインフラとコア機能にいくつかの改良が加えられています。

2026年4月15日にUAEの組織をターゲットにした可能性のあるバリアントでは、脅威アクターは、医療セクター組織になりすますため、以下のC2ドメインへローテーションしていました:

• PremierHealthAdvisory[.]com
• PremierHealthAdvisory.azurewebsites[.]net
• Premier-HealthAdvisory.azurewebsites[.]net

2026年4月17日に他の中東の組織をターゲットにした可能性のあるバリアントでは、脅威アクターは、金融セクター組織になりすますため、以下のC2ドメインへローテーションしていました:

• Ramiltonsfinance[.]com
• Ramiltonsfinance.azurewebsites[.]net
• Ramiltons-finance.azurewebsites[.]net

さらに、4月のバリアントでは、18種類の異なるオペコードを備えた拡張型コマンド ディスパッチャーが実装されており、3月の初期キャンペーンより2種類多くなっています。この増加は、データ窃取のための機能を拡張できるため、攻撃者にとって有利に働きます。主要な新しいコマンドでは、マルウェアがアップロード時に大容量ファイルを小さなチャンクへ分割できるため、侵害環境からよりステルス性が高く、信頼性の高いデータ流出が可能になります。

MiniUpdateローディング フロー

高度なAppDomainManagerハイジャック: ネイティブEDR回避

脅威アクターは、AppDomainManagerハイジャックとして知られる.NET特有のコード実行手法を使用していました。この手法により、攻撃者は構成ファイルを操作することで正規アプリケーションの実行フローを乗っ取り、ホスト アプリケーションが起動する前に任意コードを実行できます。その結果、マルウェアはログ記録機能や、エンドポイント セキュリティ ツールが悪意のある活動の検出・ブロックに依存するその他のコア機能を事前に無効化できます。

この構成の中核となるのは、<probing privatePath="."/> タグを利用して、攻撃者が制御するアセンブリのローカル サイドローディングを強制する点です。次に、カスタムAppDomainManagerタイプ(例えば MyAppDomainManager)をインスタンス化して、Pre-Main() 実行を可能にします。

しかし、このバリアントの真の高度性は、そのネイティブな防御回避ディレクティブにあります。脅威アクターは、わずか数行のXMLを追加するだけで、.NET共通言語ランタイム(CLR)に対し、自身のセキュリティ メカニズムを事前に無効化するよう指示します:

• Windowsのイベント トレースの無効化: この構成には、<etwEnable enabled="false"/> というディレクティブが含まれています。Windowsイベント トレース(ETW)は、現代のエンドポイント検出および応答(EDR)ソリューションが、.NET実行の監視、読み込み済みアセンブリの追跡、およびメモリ内の悪意ある挙動の検出に使用する主要なテレメトリ ソースです。攻撃者は、アプリケーション構成を介してETWをネイティブに無効化することで、不審なメモリ パッチ適用やAPIフックを実行することなく、CLRのランタイム動作をEDRから隠蔽できる可能性があります。
• 署名検証のバイパス: <bypassTrustedAppStrongNames enabled="true"/> ディレクティブは、CLRに対して strong-name署名検証 をスキップするよう指示します。これにより、システムが通常、読み込まれたアセンブリに対して暗号検証を要求する場合でも、攻撃者の署名されていない、または改ざんされた InitInstall.dll が、セキュリティ例外を発生させることなく静かに読み込まれます。
• 安全なリダイレクトの防止: XML構成ファイルには <publisherPolicy apply="no"/> が含まれています。パブリッシャー ポリシーは、通常、Microsoftによってアプリケーション バインディングをより新しく、安全性の高い、またはパッチ適用済みのアセンブリ バージョンへリダイレクトするために使用されます。このデフォルト ポリシーを無効にすることで、CLRは攻撃者が配置したペイロードを読み込み、システム レベルのオーバーライドを無視します。
• 強制ランタイム環境(セーフモード): この構成では、<requiredRuntime safemode="true" imageVersion="v4.0.30319"/> ディレクティブが使用されています。このパラメータは、指定された.NETランタイムを必須とすることで、アプリケーションが厳密に制御された予測可能な環境で実行されるようにします。この厳格な環境を強制することで、攻撃者は偶発的なアプリケーション クラッシュのリスクを低減します。クラッシュが発生すると、Windowsのエラー ポップアップやログが生成され、ユーザーや防御者に異常を即座に知らせる可能性があります。

図7は、完全なXML構成を示しています。

これは、成熟した環境寄生型の実行手法を示しています。Screening Serpensは、セキュリティ監視のアンフックや、メモリ内のETWパッチ適用といった、しばしば振る舞いベースのアラートを引き起こす複雑なシェルコードを書き込む代わりに、正規の設定ファイルを介して、.NETランタイム自身にセキュリティ メカニズムを無効化させます。Pre-Main()の実行タイミングと組み合わさることで、悪意のあるInitInstall.dllペイロードは、完全に監視されていない、高い特権のコンテキストで実行されます。

ステージ1: インストールと持続性の確立

高度な.configファイルがCLR初期化を正常にハイジャックすると、InitInstall.dllの実行がトリガーされます。このC#アセンブリは、第二のマルウェア ファミリーであるMiniUpdateの主要ローダー兼インストーラーとして機能します。

最終ペイロードを展開する前に、マルウェアはその構成を展開します。マルウェアの静的コンストラクタは、独自の2段階暗号を使用して、9つの主要構成文字列を復号します。まず、コンストラクタはUTF-8として解釈された入力バイトを逆順に並べ替えます。次に、アルファベット文字に標準のROT13暗号を適用します。

文字列が復号化されると、ローダーはユーザー インターフェイス(UI)の欺瞞と、ステルス性の高いファイル展開および永続化を組み合わせた一連の処理を開始します。

1. おとりUIおよび誘導画面: バックグラウンドで発生している悪意のある活動を隠すために、ローダーは枠線のない透明なウィンドウを描画するバックグラウンド スレッドを起動します。このウィンドウには、正規インストーラーの進行状況インジケーターを模倣するために特別に設計された、カスタムの円形ローディング スピナーが表示されます。図8に示すように、このウィンドウにはタスクバーのエントリがなく、ユーザーによる確認や終了が困難になっています。

2.MiniUpdateペイロードの展開: 偽のスピナーが表示されている間、マルウェアは現在のディレクトリを特定し、ビデオ会議アプリケーションのフォルダの正規ローカル アプリデータ ディレクトリ配下に、新しい隠しインストール パスを構築します。

マルウェアは特に\bin\updateフォルダを追加して、自身のファイルを格納します。ディレクトリが存在しない場合、マルウェアはそれを作成します。マルウェアは次に、初期感染フォルダからこの新しいディレクトリに4つのファイルをコピーして名前を変更します:

• setup.exeはupdate.exeに名前を変更
• UpdateConfig.xmlはupdate.exe.configに名前を変更
• Updater.dllはそのままコピー
• UpdateChecker.dll(MiniUpdateペイロード)はそのままコピー

3. 永続化の確立: ファイルが展開されるとInitInstall.dllは、Windowsタスク スケジューラを利用して、再起動後もペイロードが維持されるようにします。それは、ローカル時刻の毎日09:30にトリガーされるよう設定されたスケジュール タスクを作成します。

図9は、制御されたテスト環境で新しく作成されたスケジュール タスクを示しています。

最終的な30秒の遅延の後、ローダーはスケジュール タスクを強制的に即実行させ、update.exeを起動することでステージ2の実行を開始します。

ステージ2: 分析対策チェック

スケジュール タスクが名前を変更されたセットアップ バイナリ(update.exe)をトリガーすると、マルウェアは次のステージに安全に移行するため、2回目のAppDomainManagerハイジャックを開始します。脅威アクターは、ドロップされたupdate.exe.configファイルを使用して、ネイティブな回避ディレクティブを再適用し、ETWおよび強名検証を明示的に無効化します。これにより、正規のMicrosoftプロセスは実質的に空洞化され、次のペイロードであるUpdater.dllが監視されていないメモリ空間へ読み込まれるようになります。

完全にこの監視の及ばない環境内で動作するUpdater.dllは、ゲートキーパーとして機能します。コアRATを展開する前に、マルウェアが意図した感染チェーン内で実行されていることを確認するために、2つの厳格な環境チェックを実行します:

• プロセス検証: DLLは、現在実行中のプロセス名がupdate.exeであることを検証します。
• サンドボックス回避: 親プロセスがsvchost.exeであるかどうかを確認します。マルウェアはスケジュール タスク経由で起動するため、svchostが自然な親となります。セキュリティ アナリストまたは自動サンドボックスがファイルを直接実行すると、このチェックは失敗し、マルウェアは静かに終了します。

環境検証が完了すると、ローダーは最終的なUpdateChecker.dllペイロードへのパスを動的に構築します。モジュールをメモリに読み込み、CheckForUpdatesエクスポートを呼び出し、MiniUpdate RATに制御を正式に引き渡します。

図10は、このMiniUpdateマルウェアの全体のフローを示しています。

ステージ3: ペイロードの実行とコア機能

MiniUpdateペイロードは、外部C2と侵害されたデジタル署名を介して動作します。このバリアントは16種類のオペコードのディスパッチャーによって駆動され、攻撃者に対して、ファイル操作、シェル実行、およびプロセス操作に関する広範な制御機能を提供します。

C2アーキテクチャとネットワーク実行

このバリアントは、特定の順序で3つの異なるコマンド サーバを巡回し、それぞれに対して命令を確認するよう設計されています:

• buisness-centeral.azurewebsites[.]net
• buisness-centeral-transportation.azurewebsites[.]net
• Buisness-centeral-transportation[.]com

以下のユーザー エージェントが通信に使用されます:

Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/146.0.0.0 Safari/537.36

• デジタル署名の悪用: このペイロードは、署名が窃取またはなりすましされたとみられるソフトウェア企業名義でデジタル署名されています。
• 運用セキュリティ(OPSEC)のシフト(プレーンテキスト文字列): MiniUpdateは、すべてのAPI名、C2ドメイン、およびエンドポイントを.rdataセクション内にプレーンテキストで保存します。この文字列の難読化の欠如は、急いで展開されたこと、または脅威グループ内の別開発セルの関与を示唆しています。一方、MiniJunk V2サンプルは、強力なMixed Boolean-ArithmeticおよびXOR難読化が使用されていました。

コア機能

分析されたペイロードは、高度に多用途なバックドアとして機能し、攻撃者に侵害されたホストのファイル システム、プロセス、および環境に対する、ほぼ完全な運用制御を付与します。コマンド ポーリングは、/agent/pollエンドポイントへのGETリクエストを介して実行されます。内部コマンド ディスパッチャーは、Base64デコードされたバイナリ形式を処理し、16種類の異なるオペコードをサポートします。主な機能は以下の通りです。

• 任意コマンド実行: cmd.exe /cを介してシェル コマンドを実行
• 動的コード実行: 任意のDLLをメモリに直接読み込んで、特定のエクスポート関数を実行
• プロセス操作: 実行中のプロセスを列挙し、終了
• データ窃取: チャンク化アップロードのサポートを含む、C2サーバへのファイル アップロード
• 権限昇格: ユーザー アカウント制御(UAC)の昇格を要求
• 永続化: WindowsSecurityUpdateという名前のログオン トリガーのスケジュール タスクを作成し、このタスクを削除または再インストールする組み込み機能を提供

MiniJunkV2分析

このキャンペーンで特定された2番目のマルウェア ファミリー、MiniJunk V2は、コア機能が更新された以前に文書化されたMiniJunkマルウェアの進化版であると評価しています。このマルウェア ファミリーは、誘導アーカイブ内のsetup.exeファイルに基づいて、Screening Serpensに関連付けられます。Check Pointのレポートで文書化されているように、脅威アクターはこの正規バイナリを使用して、悪意のあるペイロードをサイドロードします。さらに、Check Pointの調査で概説されたのと同じ防御回避戦術を確認しました。すべてのサンプルにおいて、脅威アクターはジャンク コードとパディングを使用して、ファイル サイズを人為的に肥大化させることで、エンドポイント検出およびスキャン制限の回避に成功しています。

2026年2月17日、中東の組織をターゲットとしていたとみられるMiniJunk V2サンプルが、地域紛争の直前に出現しました。私たちの可視性では、紛争開始から1ヶ月後の2026年3月27日に、米国の組織をターゲットとしていた可能性がある別キャンペーンも確認されています。このタイムラインは、ペイロードが以前に文書化されたキャンペーンから派生した最近のアップグレード版であるという私たちの評価を裏付けており、継続的な開発および展開サイクルを示しています。

MiniJunk V2: 2月中東キャンペーン

2026年2月17日、中東のある国を拠点とするテクノロジー分野の専門職を狙ったスピア フィッシング キャンペーンの証拠を特定しました。悪意のあるアーカイブ内のファイルの分析の結果、このキャンペーンおよび関連マルウェアの準備は、2025年後半に開始されていたことが判明しました。脅威アクターは綿密な偵察活動を実施し、標的が積極的に求職活動を行っている痕跡を悪用して、カスタマイズされた誘導を作り上げました。正当性を確立し、ターゲットにペイロードを実行させるために、攻撃者は有名な採用ウェブサイトからの偽の採用URLを共有していました。

ソーシャル エンジニアリングと初期アクセス

脅威アクターは、偽の採用URLを配布することによって攻撃を開始しました: hxxps[:]//[REDACTED][.]com/career/recreuitment/[REDACTED]。このエンドポイントは現在、HTTP 404 Not Found ステータスコードを返しており、これをターゲットを誤認させることを目的とした視覚的なおとりであると評価しています。

URLの特定のスペルミス(recreuitment) は、意図的な不正偽装を示しており、このリンクが設計上、機能しないことを前提として作成されたことを示唆しています。分析によると、なりすまし対象組織のインフラ、システム、またはドメインが侵害されたり、侵入されたりした痕跡はありません。

このグループは、この機能しないURLを利用して、ターゲットに対し、オフライン ポータルへの回避策を取らせようとしていた可能性があります。ターゲットは、その後、攻撃者が管理するONLYOFFICEワークスペース内にホストされた専用ストレージ インスタンスへリダイレクトされます。このインフラは、主要ペイロードの配信ポイントとして機能しており、被害者は正規の採用資料を装った悪意のあるアーカイブをダウンロードするよう誘導されていました

攻撃の実行は、被害者が誘導の指示に従い、武器化されたPortal.zipアーカイブを手動で取得してダウンロードすることで進行します。このアーカイブには、Setup.exeという名前のファイルと3つの隠しファイルが含まれています。Windowsのデフォルト設定では、隠しファイルが表示されないため、ユーザーは通常これらの3つのファイルを目にすることはありません。図11はアーカイブの内容を示しています。

隠しファイルの1つは、今回の攻撃のペイロードを含むuevmonitor.dllという名前の悪意のあるDLLです。ユーザーがSetup.exeファイルを実行すると、そのアクションによってログインしているユーザーのコンテキストで感染チェーンが開始されます。

AppDomainManager: サイドローディングとハイジャック

MiniJunk V2サンプルの分析中に、脅威アクターがローカル サイドローディングを促進するため旧バージョンの.configファイルを使用していることを確認しました。この場合、攻撃者はuevmonitorという名前のカスタム悪意のあるDLLを作成し、正規の.NET実行可能ファイルと一緒に展開していました。ペイロードをホストプロセスにサイドロードするために、攻撃者は<probing privatePath="./"/>ディレクティブを使用し、アプリケーションに対してローカル作業ディレクトリを優先させていました。これは、DLLサイドローディングの主要な前提条件です。

元のMiniJunk構成には、回避機能などの運用セキュリティ対策が欠けており、検出されやすい状態でした。攻撃者は、新しいツールであるMiniUpdateに、ステルス性の高い回避技術を追加していました。図12は、.configファイルの元のもので、これはuevmonitor.dllファイルのサイドローディング専用に使用されました。

ペイロードの技術分析

主要ローダーとして機能するuevmonitor.dllアセンブリは、最初の正規Setup.exeホスト プロセスによって実行されると、感染チェーンを開始します。このアセンブリは、埋め込まれた2つのペイロードをローカルAppDataディレクトリへ静かにドロップします:

• SoftwareLicencing.exe: 名前が変更された正規のMicrosoftセットアップ バイナリ
• unbcl.dll: コア悪意のあるペイロード

足掛かりを維持するために、ローダーは Synchronize OSという名前の永続化用スケジュール タスクを作成すると同時に、このバックグラウンド活動を隠蔽するため、ユーザーへおとりシステム エラーを表示します。このシーケンスは、スケジュール タスクがSoftwareLicencing.exeをトリガーすることで完結します。このプロセスは、悪意のあるunbcl.dllを信頼済みメモリ空間へ特別にサイドロードします。このアクションは、高度に難読化されたRATが正常に展開され、攻撃者は外部ホスト型C2インフラストラクチャを介して操作制御を行えるようになります。

図13は、AppDomainManagerのハイジャックと2つのDLLサイドローディング インスタンスを含む、悪意のあるRATの展開までの全体のフローを示しています。

C2ループとネットワーク実行

実行中、マルウェアはコード内のデータを動的に復号化して、5つのC2ドメインを取得します。

• licencemanagers.azurewebsites[.]net
• LicenceSupporting.azurewebsites[.]net
• PeerDistSvcManagers.azurewebsites[.]net
• ThemesManagers.azurewebsites[.]net
• ThemesProviderManagers.azurewebsites[.]net

これらのドメインは、正当なWindowsサービス名を模倣し、ネットワーク通信へ紛れ込もうとします。

同時に、マルウェアは混合ブール算術復号化を使用して、ハードコーディングされたユーザー エージェント文字列を構築します。その結果生成された文字列は、正規のMicrosoft Edgeブラウザのトラフィックを模倣します:

Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/144.0.0.0 Safari/537.36 Edg/144.0.0.0

行動分析により、マルウェアがC2サーバ上の特定のAPIエンドポイントと通信していることが確認されました。実装されているエンドポイントは次のとおりです:

• /api/app/check: 初期ビーコンで、被害者の登録を処理し、セッションを確立。
• /api/app/update: 実行コマンドを取得し、後続のペイロードをダウンロード。
• /api/app/comment: データを外部に流出し、脅威アクターへ運用状況レポートを送信。

マルウェアの.rdataセクションには、JavaやPythonのトレースバック、SQLクエリ、.NET例外を含む数千のジャンク文字列が詰め込まれています。これらの文字列は、0x1E50バイトごとに繰り返されます。この繰り返しには以下の2つの目的があります:

• 無関係なデータで文字列抽出ツールを埋め尽くすこと
• 特定の自動サンドボックスでのファイルサイズ制限を回避するために、バイナリ サイズを約12MBに膨らませること

サイドローディング チェーンと悪意のある実行可能ファイルにより、Cortex XDRはこの脅威を高リスクとしてフラグ付けしました。また、ユーザーが何らかの操作を行う前に、脅威の実行を阻止しました。図14は、この検出と防止を示しています。

MiniJunk V2: 3月の米国キャンペーン

特徴的なSoftwareLicencing.exeファイルを追跡する中で、米国を対象とした攻撃に対して展開された可能性のある、新たに開発されたマルウェア バリアントを発見しました。このマルウェアは、2026年3月27日に初めてVirusTotalへアップロードされており、Portable platform.zipという名前のアーカイブ内で配信されています。このマルウェア サンプルは、最近の地域紛争の間に積極的に開発および使用されていたとみられます。

この最新のバージョンは、検出を回避するために設計された複雑な多段階実行チェーンを特徴としています。ターゲットを欺くために、ソーシャル エンジニアリング用のおとりグラフィック ユーザー インターフェイス(GUI)に依存し、静かに高度に難読化されたC2接続を確立します。

ソーシャル エンジニアリングと初期アクセス

感染は、専用のONLYOFFICE DocSpaceにホストされたPortable platform.zipの誘引アーカイブから始まります: hxxps[:]//docspace-y4cumb.onlyoffice[.]com/storage/files/root/folder_3602000/file_3601577/v1/content.zip[...]

図15はアーカイブの内容を示しています。

図16はfileフォルダの内容を示しています。

抽出後、アーカイブはDLLサイドローディング シーケンスを開始します。実行フローは、正規のSetup.exeを利用し、その後、2つの悪意のあるコンポーネントを読み込みます:

• Unbcl.dll: ソーシャル エンジニアリング用のおとり
• Connection.dll: 主要ペイロードであるRAT

Unbcl.dllの実行により、ターゲットにGUIを表示するバックグラウンド スレッドが作成されます。ウィンドウのタイトルは「会議室」で、被害者に「会議室のURL」を提供するよう求めます。これにより、実行にもっともらしい理由を与え、被害者は正規のWeb会議へ参加しようとしていると誤認させられます。一方で、主要なC2ビーコンはバックグラウンドで静かに動作します。

図17はダミー ウィンドウを示しています。

Connection.dll RATが実行されると、厳格な実行シーケンスに従います:

1. まず、RATが2026年3月27日13:30:00 UTC以降の日付でのみ実行されることを確認するために、ハードコードされた日付ベースの有効性チェックを実行します。この有効性チェックは実行トリガーとして機能し、脅威アクターがサンドボックス分析を回避し、初期のセキュリティ スクリーニングをバイパスし、あらかじめ定められた運用フェーズが始まるまで目立たない状態を維持することを可能にしていると考えられます。
2. 成功すると、RATはメインワーカー スレッドを生成し、内部名(SystemtUpdateTaskMachine.exe)を使用してファイル パスを構築し、自身が1つのインスタンスのみ実行されるようインスタンス チェックを実施します。

ペイロードの技術分析

Connection.dll ペイロードは、複数の機能と防御回避メカニズムを持つ別のRATです。

メイン ループに入ると、マルウェアはコード内のデータをXOR復号化(単一バイトキー0x8Aを使用) し、Chromeベースのユーザーエージェント文字列とAzureホストのC2ドメインを使用して3つのURLを取得します。これらのドメインは、テクノロジー、サイバーセキュリティ、人工知能分野で事業を展開するグローバル企業になりすましています:

• hxxps[:]//NanoMatrix.azurewebsites[.]net
• hxxps[:]//QuantumWeave.azurewebsites[.]net
• hxxps[:]//ElementShift.azurewebsites[.]net

マルウェアは、HTTP POSTリクエストを介して主要なC2ベースURLにビーコンを送信します。解析された応答に応じて、マルウェアは特定の転送URLを介してチャンク アップロードまたはダウンロードを実行するか、コマンド実行用の追加のスレッドを作成します。

結論

イラン関連のAPTグループであるScreening Serpensの継続的な追跡により、この脅威グループがここ数ヶ月にわたり活動を続けていることが明らかになりました。このグループは、2026年2月に始まった地域紛争以降、活動を活発化させ、最大5ヶ国の組織を対象に2つのRATバリアント ファミリーを展開しています。

これらの最近のキャンペーンを特徴づける要素の1つは、攻撃者が誘導を高度にパーソナライズしている点にあります。攻撃者は偽の求人票や偽装されたビデオ会議の招待状を含む、標的向けに作り込まれたソーシャル エンジニアリング戦術を活用して被害者を誘導し、感染チェーンを開始させることで、その組織をさらなる悪用にさらしています。

私たちは、グループの攻撃手法における重要な進化を確認しました: Screening Serpensは、初めて標準のDLLサイドローディング技術と高度なAppDomainManagerハイジャックを融合させています。.NET初期化プロセスを武器化し、正規の設定ファイルを操作することで、グループは従来のセキュリティ テレメトリを事前に回避し、ほとんどの標準エンドポイント防御が完全に初期化される前にペイロードを実行できるようになりました。この戦術により、攻撃者は永続化を確立し、機密データの抽出に対する完全な運用制御を維持できるようになります。

防御者は既知のマルウェア インジケーターにのみ依存するのではなく、EDRツールがDLLサイドローディングとAppDomainManagerハイジャックを検出するように適切に調整されていることを確認する必要があります。これらの特定の実行技術を高リスクとして扱うことで、組織は信頼された署名付きバイナリが信頼されていないモジュールを読み込む際に生じる行動異常を特定しやすくなります。

2026年4月現在、Screening Serpensの活動は減速の兆しを見せず、持続的で適応性の高いグローバル サイバー キャンペーンを継続的に展開しています。組織は、今後もさらなる攻撃の試みが行われることを想定し、侵害の試みに備えて防御体制を強化する必要があります。

パロアルトネットワークスのお客様は、最先端のエコシステムを活用することで、以下の製品を通じて、本調査で取り上げた脅威からより適切に保護されています。

• Advanced WildFireの機械学習モデルと分析技術は、本調査で共有されたインジケーターから保護できるよう更新されています。Advanced WildFireは、Precision AIを搭載しています。
• Advanced URL FilteringとAdvanced DNS Securityは、この活動に関連する既知のドメインとURLをリアルタイムで特定し、ブロックします。
• Cortex XDRおよびXSIAMは、マルウェア防止エンジンを採用することで、この記事で説明されている脅威を防ぐのに役立ちます。このアプローチは、Advanced WildFire、Behavioral Threat Protection、Local Analysisモジュールなど、複数の保護レイヤーを組み合わせて、既知および未知のマルウェアがエンドポイントに害を及ぼすのを防ぐものです — すべて単一のインターフェイスで。
• Cortex Cloudのお客様は、Cortex Cloud XDRエンドポイント エージェントとサーバーレス エージェントの適切な配置を通じて、クラウド環境をターゲットとする操作からより良く保護されています。Screening Serpensがクラウド インフラを利用して、コマンド&コントロールのエンドポイントをホストすることは、クラウド アーキテクチャを活用した活動を示しています。Cortex Cloudは、ここで概説された脅威からクラウドのセキュリティ体制およびランタイム運用を保護するように設計されています。また、クラウド環境内での悪意のある操作、構成の変更、および悪用を検出し、防止するのにも役立ちます。
• Cortex AgentiXエージェンティック アシスタントは、チームが自然言語を使用してデータを照会できるようにすることで、調査を効率化し、より深い文脈とインサイトを提供し、次に実施すべき対応について明確な推奨事項を提示しました。図18は、テナント内の悪意のある活動を照会する際のAgentiXインターフェイスを示しています。

情報漏えいの可能性がある場合、または緊急の案件がある場合は、Unit 42インシデント レスポンス チームまでご連絡ください:

• 北米:フリーダイヤル: +1 (866) 486-4842 (866.4.UNIT42)
• 英国: +44.20.3743.3660
• ヨーロッパおよび中東: +31.20.299.3130
• アジア: +65.6983.8730
• 日本: +81.50.1790.0200
• オーストラリア: +61.2.4062.7950
• インド: 000 800 050 45107
• 韓国: +82.080.467.8774

Palo Alto Networksは、本調査結果を Cyber Threat Alliance (CTA)のメンバーと共有しています。CTAの会員は、このインテリジェンス情報を利用して、その顧客に対して迅速に保護をデプロイし、悪意のあるサイバー アクターを組織的に阻止しています。サイバー脅威アライアンスについて詳細をご確認ください。

侵害のインジケーター

ドメイン:

• licencemanagers.azurewebsites[.]net
• LicenceSupporting.azurewebsites[.]net
• PeerDistSvcManagers.azurewebsites[.]net
• ThemesManagers.azurewebsites[.]net
• ThemesProviderManagers.azurewebsites[.]net
• docspace-y4cumb.onlyoffice[.]com
• NanoMatrix.azurewebsites[.]net
• QuantumWeave.azurewebsites[.]net
• ElementShift.azurewebsites[.]net
• business-startup[.]org
• business-startup.azurewebsites[.]net
• Businessstartup.azurewebsites[.]net
• app[redacted][.]live
• buisness-centeral.azurewebsites[.]net
• buisness-centeral-transportation.azurewebsites[.]net
• Buisness-centeral-transportation[.]com
• docspace-twpf0e.onlyoffice[.]com
• PremierHealthAdvisory[.]com
• PremierHealthAdvisory.azurewebsites[.]net
• Premier-HealthAdvisory.azurewebsites[.]net
• Ramiltonsfinance[.]com
• Ramiltonsfinance.azurewebsites[.]neti
• Ramiltons-finance.azurewebsites[.]net

URL:

• hxxps[:]//docspace-y4cumb.onlyoffice[.]com/storage/files/root/folder_3602000/file_3601577/v1/content.zip[...]
• hxxps[:]//app[redacted][.]live/meeting/edcdba624ddb43c2a1dcf334aa493068
• hxxps[:]//docspace-twpf0e.onlyoffice[.]com/storage/files/root/folder_3765000/file_3764519/v1/content.zip?filename=remote.[REDACTED].zip
• hxxps[:]//2117.filemail[.]com/api/file/get?filekey=T0EnWQ6NugHkW_kLfDxPBEw_um6NSkg9ZwNRQ_5lrKrLLUo35pV8m3TKv1LqF3zZzdUm

SHA256ハッシュ:

ミニアップデート: 米国キャンペーン

• 44f4f7aca7f1d9bfdaf7b3736934cbe19f851a707662f8f0b0c49b383e054250 - 初期アーカイブ ファイル
• 332ba2f0297dfb1599adecc3e9067893e7cf243aa23aedce4906a4c480574c17 - Hiring Portal.zip
• 0db36a04d304ad96f9e6f97b531934594cd95a5cea9ff2c9af249201089dc864 - UpdateChecker.dll

ミニアップデート: イスラエル キャンペーン

• 38bd137c672bd58d08c4f0502f993a6561e2c3411773d1ae57ee0151a0a9d11d - 初期アーカイブ ファイル
• d4a7e9f107fe40c1a5d0139c6c6e25bf6bf57f61feff090bee28f476bb3cc3c2 - UpdateChecker.dll

ミニアップデート: UAEキャンペーン

• bc3b44154518c5794ce639108e7b9c5fecb0c189607a26de1aaed518d890c7ad - UpdateChecker.dll

ミニアップデート: 中東キャンペーン

• 74882085db2088356ed7f72f01e0404a0a98cda88ef56fb15ce74c1f36b26d27
• bc3b44154518c5794ce639108e7b9c5fecb0c189607a26de1aaed518d890c7ad - UpdateChecker.dll

MiniJunk V2: 中東キャンペーン

• 9cf029daca89523d917dafed0568d11d00e45ec96b5b90b4a1f7fd4018c7da84 - uevmonitor.dll
• B19e06da580cf91691eda066ac9ee4b09c6e5dc26c367af12660fe1f9306eec4 - unbcl.dll

MiniJunk V2: 米国キャンペーン

• 8808c794c24367438f183e4be941876f1d3ecd0c8d2eb43b10d2380841d2283b - Portable Platform.zip
• 43dc62cef52ebdd69e79f10015b3e13890f26c058325c0ff139c70f8d8eadcfa - Connection.dll
• 9e4a658e6d831c9e9bdfe11884a75b7c64812ed0a80e8495ddf6b316505acac1 - unbcl.dll

_参考文献

• Nimbus Manticore ヨーロッパをターゲットとした新しいマルウェアを展開 – Check Point
• イランの「夢の仕事」キャンペーン – ClearSky
• 最前線のインテリジェンス: UNC1549のTTP、カスタムツール、および航空宇宙および防衛エコシステムをターゲットとしたマルウェアの分析 – Google Cloud Blog
• 猫が飛ぶとき: 疑わしいイランの脅威アクターUNC1549がイスラエルおよび中東の航空宇宙と防衛部門をターゲットにする – Google Cloud Blog
• 煙の砂嵐: 国家の行為者 – Microsoft Security Insider
• 2026年版グローバル インシデント レスポンス レポート: Screening Serpens – Unit 42 | Palo Alto Networks