CRESCENTHARVEST：イラン抗議デモ支持者を標的としたスパイキャンペーンがRATを展開

CRESCENTHARVESTキャンペーン：イラン抗議デモ支持者を標的としたRATマルウェアの展開

サイバーセキュリティ研究者である**Acronis Threat Research Unit（TRU）**は、イランで進行中の抗議デモ支持者を標的とした高度なサイバースパイキャンペーン「CRESCENTHARVEST」を発見した。この作戦は、2026年1月9日以降少なくとも活動しており、**リモートアクセストロイ（RAT）**を展開して情報窃取と長期監視を目的としている。

技術的詳細

完全な侵害指標（IOCs）はまだ公開されていないが、Acronis TRUはこのキャンペーンがRATマルウェアを利用して侵害されたシステムに持続的なアクセスを確立していることを確認した。RATは脅威アクターに以下の機能を提供する：

• 機密データの流出（例：文書、認証情報、通信内容）
• キーロギング、スクリーンショット、マイク/ウェブカメラを通じた監視
• 長期的な持続性を維持し、継続的なスパイ活動を実施

イランの抗議デモ支持者を標的としていることから、国家に支援された、または政治的動機を持つ脅威アクターの可能性が示唆されるが、帰属はまだ確認されていない。このキャンペーンのインフラストラクチャと戦術は、ステルス性とデータ流出を重視する**高度持続的脅威（APT）**の手法と一致している。

影響分析

CRESCENTHARVESTキャンペーンは、標的となった個人に以下の重大なリスクをもたらす：

• プライバシー侵害：個人的な通信、連絡先、抗議活動に関する情報の露見。
• オペレーショナルセキュリティ（OPSEC）の失敗：侵害されたデバイスが抗議ネットワーク、戦略、または他の支持者の身元を明らかにする可能性。
• 身体的安全のリスク：抑圧的な政権下では、デジタル監視が逮捕や嫌がらせに先行することが多い。

イランや地域のアドボカシーグループと関係のある組織にとって、このキャンペーンは標的型スパイ活動に対する警戒の強化が必要であることを強調している。

推奨対策

セキュリティチームおよびリスクにさらされる個人は以下の対策を講じるべきである：

1. エンドポイント保護の強化：RATの挙動（例：異常なネットワークトラフィック、不正なプロセス実行）を検出できる高度な脅威検知ツールを導入する。
2. IOCsの監視：Acronis TRUや他の脅威インテリジェンスプロバイダーからの詳細情報を待ち、防御策を更新する。
3. OPSECのベストプラクティスの採用：暗号化通信を使用し、機密データを個人デバイスに保存しない。抗議活動に関連するデジタル利用を日常的な使用から分離する。
4. セキュリティ意識向上トレーニングの実施：フィッシングリスク、ソーシャルエンジニアリング、RAT感染の兆候（例：動作の遅延、予期しないポップアップ）についてユーザーを教育する。

Acronis TRUは引き続きこのキャンペーンを調査しており、新たなIOCsや攻撃ベクトルが特定され次第、更新情報を提供する予定である。