魅力的な子猫

Charming Kittenは、APT35（Mandiant社）、PhosphorusまたはMint Sandstorm（Microsoft社）^{[ 1 ]} 、 Ajax Security（FireEye社）^{[ 2 ]}、NewsBeef（Kaspersky社^{[ 3 ] [ 4 ]} ）とも呼ばれるイラン政府のサイバー戦争グループであり、複数の企業や政府関係者から高度な持続的脅威（APT）と表現されている。

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、チャーミング・キトゥンを、米国、ヨーロッパ、中東のジャーナリスト、学者、人権擁護活動家などの民間社会組織を標的とし、情報収集、言論操作、反対意見の抑圧を目的として活動しているイラン国家と連携した複数のアクターのうちの1つとして特定した。^{[ 5 ]}

このグループは、偽のアカウントやドメインを使用して正当な組織やウェブサイトになりすまし、ユーザーの認証情報を収集するフィッシングキャンペーンを実行していることが知られています。 ^{[ 6 ]}

2025年には、IRGCサイバーコムがイラン国民を監視するために構築した国家規模の大規模監視データベースソフトウェア「カシェフ」とそのドメイン全体がハッキングされ、ハッカーグループの指揮系統全体の実在の身元もハッキングされた。フロント企業「アムン・アフザール社」のCEOであるIRGC司令官ニロファー・バゲリが筆頭経営者である。^{[ 7 ]}

イラン国際機関のUnit40が使用する国家大規模監視ソフトウェア
https://vimeo.com/1137702960/faabbbf3a4

2013年、元アメリカ空軍技術軍曹で軍事情報防衛請負業者のモニカ・ウィットは、米国から刑事訴追される可能性があることを承知の上でイランに亡命した^{[ 8 ]}。彼女がイラン政府に情報を提供したことが、後に米国の軍事請負業者を標的としたサイバー戦争作戦「サフラン・ローズ作戦」の引き金となった。

2017年、HBOへのサイバー攻撃を受け、機密情報が漏洩したとして大規模な合同調査が開始された。ソクート・ヴァシャット（ペルシャ語で「沈黙の恐怖」）という偽名のハッカーは、金銭を支払わなければ『ゲーム・オブ・スローンズ』を含むテレビ番組の脚本を漏洩するとの条件付き声明を発表した。このハッキングにより1.5テラバイトのデータが漏洩し、その中には当時まだ放送されていなかった番組やエピソードも含まれていた。^{[ 9 ]} HBOはその後、再び侵害を受けないよう対策を講じると発表した。^{[ 10 ]}

ベザド・メスリはその後、ハッキングの罪で起訴された。彼は機密情報を漏洩した作戦部隊の一員であったとされている。^{[ 11 ]}

Certfaによると、チャーミング・キトゥンは2015年のイラン核合意に関与した米国当局者を標的にしていたという。イラン政府は関与を否定している。^{[ 12 ] [ 13 ]}

コロンビア特別区連邦地方裁判所の連邦大陪審は、ウィット氏をスパイ容疑（具体的には「イラン政府代表者への国防情報の伝達および提供に関する共謀」）で起訴した。起訴状は2019年2月19日に公開された。同じ起訴状の中で、モジタバ・マソムプール、ベフザド・メスリ、ホセ​​イン・パルヴァル、モハマド・パリャールの4人のイラン国籍者は、2014年と2015年にウィット氏の元同僚のデータを侵害しようとしたキャンペーンに関して、共謀、コンピュータ侵入未遂、および加重個人情報窃盗の罪で起訴された。 ^{[ 14 ]}

2019年3月、マイクロソフトは、スピアフィッシングやその他のサイバー攻撃のリスクを軽減することを目的として、イラン政府が支援するハッカーが所有する99のDNSドメインの所有権を取得しました。 ^{[ 15 ]}

2020年、ロイター通信は、チャーミング・キトゥンがエルファン・カスライエやハッサン・サルバクシアンといったイラン政府批判者、学者、ジャーナリストを標的とし、メール認証情報の収集を目的とした偽のインタビュー依頼を受け取ったと報じた。メールはウォール・ストリート・ジャーナル、CNN、ドイチェ・ヴェレなどの記者を装い、受信者にGoogleのパスワード入力や偽の契約書への署名を求めることもあった。サイバーセキュリティ企業のCertfa、ClearSky、Secureworksは、戦術、インフラ、標的を絞った分析に基づき、チャーミング・キトゥンによるものと結論付けた。^{[ 16 ]}

マイクロソフトによると、2019年8月から9月までの30日間で、Charming Kittenは標的のメールアカウントに関する情報を入手しようと2,700回も試みた。^{[ 17 ]}その結果、241件の攻撃と4件のアカウント侵害が発生した。この攻撃は米国大統領選挙を狙ったものとみられていたが、侵害されたアカウントはいずれも選挙とは関連していなかった。

マイクロソフトは具体的に誰が標的になったかは明らかにしなかったが、その後のロイターの報道ではドナルド・トランプの再選キャンペーンだと主張した。^{[ 18 ]}この主張は、トランプ陣営だけが電子メールクライアントとしてMicrosoft Outlookを使用していたという事実によって裏付けられている。

イランは選挙介入への関与を否定し、イラン外務大臣モハンマド・ジャヴァード・ザリーフはNBCの「ミート・ザ・プレス」のインタビューで「我々は（米国が）選挙に介入することを望んでいない」「我々は他国の内政に干渉しない」と述べた。^{[ 19 ]}

しかし、マイクロソフトやClearSky Cyber​​ Securityなどのサードパーティ企業のサイバーセキュリティ専門家は、今回の妨害工作の背後にはイラン、特にCharming Kittenがいると主張している。2019年10月、ClearSkyはマイクロソフトの当初の結論を裏付ける報告書を発表した。^{[ 20 ]}この報告書では、今回のサイバー攻撃の詳細が、Charming Kittenが発信源とされる過去の攻撃と比較され、以下の類似点が見出された。

• 被害者のプロフィールは類似していた。標的となった人々は似たようなカテゴリーに属していた。彼らは皆、学術界、ジャーナリズム、人権活動家、そして政治的反対派といった分野でイランにとって関心の高い人物だった。
• 時間の重複。選挙干渉の試みが行われたのと同じ時期に、チャーミング・キトゥンの活動が活発化していたことが確認されました。
• 一貫した攻撃ベクトル。攻撃手法は類似しており、悪意のある攻撃者はSMSテキストを介したスピアフィッシングを利用していました。

2020年、IBMのX-Force IRISチームは、Charming Kittenから40GBを超えるデータを発見しました。これには、工作員がメールやソーシャルメディアのアカウントをハッキングする様子を映した訓練ビデオが含まれていました。映像には、米国およびギリシャ海軍の職員のアカウントへのアクセス、米国当局者に対するフィッシング攻撃の失敗、盗まれた認証情報の管理にZimbraなどのツールが使用されている様子などが含まれていました。研究者たちは、この発見を同グループの手口に関する稀有な洞察と評し、多要素認証を回避する能力が限定的であることを示していると示唆しました。^{[ 21 ]}

2022年8月23日、Google脅威分析グループ（TAG）のブログ投稿で、Charming Kittenが開発した、Google、Yahoo!、Microsoftといった有名メールプロバイダーからデータを盗むための新ツールが公開されました。^{[ 22 ]}このツールは、標的の認証情報を使用してセッションを確立します。このツールは、旧式のメールサービスを使用していることがサーバー上で正常に見えるように動作し、被害者のメールをダウンロードし、自身のフィンガープリントを隠すための変更を加えます。

報告によると、このツールはWindowsプラットフォーム上で開発されており、被害者のマシン向けには開発されていない。コマンドラインとGUIの両方を使用して、資格情報やCookieなどの必要なリソースを入力する。

ガーディアン紙によると、2023年9月、ドイツの国内情報機関は、イランとつながりのあるハッカー集団「チャーミング・キトゥン」による「具体的なスパイ活動の試み」について公的に警告を発した。この報道は、ヨーロッパの複数の国で記録された、イランの活動家がハッキングの試み、サイバー攻撃、オンラインでの嫌がらせ、身体的危害の脅迫を受けた事件を受けてのものだった。ドイツ、フランス、イギリス、スペインの活動家は、イランのサイバーアクターと関連があるとされる脅威について、地元当局から警告を受けたと報じられている。^{[ 23 ]}

• ソニー・ピクチャーズのハッキング
• モニカ・ウィット