Infy脅威グループがステルス強化したC2インフラでサイバースパイ活動を再開

イランのAPTグループ「Infy」が回避戦術を強化し活動再開

イランのAdvanced Persistent Threat（APT）グループであるInfy（別名：Prince of Persia）は、イラン国内での全国規模のインターネット遮断が終了した後、サイバースパイ活動を再開した。セキュリティ研究者によると、この脅威アクターは新たなコマンド＆コントロール（C2）インフラを展開すると同時に、検知回避のための戦術を洗練させている。

主な動向とタイムライン

• 活動停止：Infyは2026年1月8日に既存のC2サーバーのメンテナンスを停止し、追跡開始以来初の活動休止となった。
• インターネット遮断：グループの活動停止は、イラン国内の不安定な情勢を受けて2026年2月初旬に実施された全国規模のインターネット遮断と時期が一致している。
• 活動再開：インターネットサービスが復旧したことを受け、InfyはC2インフラを再構築し、新たな回避技術を組み込んで活動を隠蔽している。

更新された戦術の技術分析

Infyはこれまで、政府機関、反体制派、地域の敵対勢力を標的とし、スピアフィッシングキャンペーンやカスタムマルウェアを使用してきた。新たなC2インフラの詳細は公開されていないが、セキュリティアナリストは以下のような強化点を指摘している：

• ドメイン生成アルゴリズム（DGA）：C2ドメインを動的に生成するDGAの使用により、テイクダウンを困難にしている可能性がある。
• トラフィックの難読化：暗号化トンネリング（例：DNS-over-HTTPSやVPNベースの通信）を実装し、悪意あるトラフィックを隠蔽している可能性がある。
• Living-off-the-Land Binaries（LOLBins）：正規のシステムツールへの依存を強め、フォレンジックの痕跡を減らしている。
• Fast-Fluxホスティング：C2ドメインに関連するIPアドレスを高速でローテーションし、ブラックリスト回避を図っている。

影響と帰属

Infyの活動は、イラン国家支援のサイバースパイ活動の目的と一致しており、情報収集と監視に焦点を当てている。このグループの活動再開は、地政学的な混乱にもかかわらず、テヘランがサイバー能力への投資を継続していることを示している。

• 標的：中東諸国の政府、活動家、外国の外交使節団が含まれると予想される。
• 動機：主に戦略的情報収集であり、副次的な目的として影響工作が関連している可能性がある。

防御側への推奨事項

Infyの更新された戦術を検知・阻止するために、セキュリティチームは以下の対策を優先すべきである：

1. ネットワーク監視

   • 行動分析を導入し、異常なC2通信パターンを特定する。
   • 新規登録ドメインや既知の悪意あるIP範囲への不審なアウトバウンドトラフィックを監視する。

2. エンドポイント保護

   • アプリケーションホワイトリストを実装し、LOLBinsの不正な実行をブロックする。
   • 高度な脅威検知（例：EDR/XDRソリューション）を有効にし、不審なプロセスインジェクションやラテラルムーブメントを検知する。

3. 脅威インテリジェンス

   • APT特化の脅威フィードを購読し、Infyの進化するインフラ（例：C2ドメイン、マルウェアハッシュ）に関する最新情報を入手する。
   • 侵害指標（IOC）をイラン関連の脅威グループと相関させ、アラートの文脈を理解する。

4. ユーザー啓発

   • 標的型フィッシングシミュレーションを実施し、Infyの感染経路として一般的なスピアフィッシングの手口を認識させる。

5. インシデント対応

   • イランのAPT活動に対応するプレイブックを策定し、Infyのマルウェアファミリー（例：Foudre、Tonnerre）に対する封じ込め戦略を含める。

結論

Infyの活動再開は、国家支援型脅威アクターの強靭さと、地政学的混乱に適応するグループの追跡の難しさを浮き彫りにしている。特に政府、防衛、人権などの高リスク分野の組織は、Infyが依然として活発な脅威であると想定し、防御策を調整すべきである。

さらに詳細なIOCや技術分析については、CrowdStrike、Mandiant、または元のHacker Newsの開示記事（ソース）を参照のこと。