複数の国での Candiru's DevilsTongue スパイウェアの追跡

注:このレポートの分析締め切り日は2025年6月26日でした

Executive Summary

Insikt Groupは、スパイウェアベンダーCandiruにリンクされた複数のクラスターに関連する新しいインフラストラクチャを特定しました。これには、Candiru の DevilsTongue スパイウェアの展開と制御に使用されると思われる被害者向けコンポーネントと、上位のオペレーター インフラストラクチャの両方が含まれます。DevilsTongue は、洗練されたモジュール式の Windows マルウェアです。クラスターの設計と管理はさまざまで、被害者向けシステムを直接管理するものもあれば、仲介者やTorネットワークを使用するものもあります。8つの異なるクラスターが確認され、ハンガリーとサウジアラビアに関連するものを含む5つはまだ活動している可能性があります。インドネシアに関連する1つのクラスターは2024年11月まで活動しており、アゼルバイジャンに関連する2つのクラスターは、特定された被害者向けインフラが不足しているため、ステータスが不確実です。Insikt Groupはまた、Candiruの企業ネットワークの一部であると疑われる会社を特定しました

DevilsTongueのような傭兵スパイウェアは、重大な犯罪やテロ対策の文脈以外で国内外で使用され、ターゲット、その組織、さらにはオペレーターにさえ、プライバシー、法的、安全に深刻なリスクをもたらします。(漏洩した販売情報に対する研究者の評価に基づく)展開あたりのコストが高いため、政治家、ビジネスリーダー、機密性の高い役割の個人など、インテリジェンス価値の高い個人が特に危険にさらされることがよくあります。米国商務省がCandiruをそのエンティティ リストに追加したこと、スパイウェアの悪用を抑制するためのEUの決議、英国とフランスが主導する正当な使用を定義および規制するためのポールモールのイニシアチブなど、世界中で規制および法的取り組みが行われているにもかかわらず、Candiruは耐久性の高い、レジリエンスの高い(に優れた)を証明し、たとえば、エンティティリストから削除しようとすることで反発しています。 そして重大な脅威をもたらし続けています。

短期的には、防御側は、定期的なソフトウェアアップデート、既知の指標に対する(脅威の)ハンティング、旅行前のセキュリティブリーフィング、個人用デバイスと企業デバイスの厳密な分離など、セキュリティのベストプラクティスを実装する必要があります。 これらの対策は、感染ベクトルとマルウェアの機能についての理解を深め、最小限のデータ サイバーエクスポージャーの文化を促進するために、継続的な従業員のセキュリティ意識向上トレーニングによってサポートされるべきです。 長期的には、組織は徹底的なリスク評価に投資して、より微妙で適応性のあるセキュリティ ポリシーを通知する必要があります。

傭兵スパイウェア市場が成長し、新しいベンダーや製品、高度なサイバー機能を求める国が増えるにつれ、標的にされるリスクは市民社会を超えて、そのようなツールや同等のツールにアクセスできる攻撃者にまで及んでいます。同時に、広告ベースの感染の疑い、メッセージングサーバーへの直接攻撃、永続性の強化など、持続的な収益性の持続性、競争の激化、IT防御の強化がイノベーションを促進しています(123)。これらの傾向により、よりステルスな感染チェーン、クラウドバックアップの標的化、より専門化されたスパイウェアエコシステム、およびより広範なツールポートフォリオが推進されています。したがって、効果的な緩和には、継続的な生態系の監視、徹底的なリスク評価、政策立案者によるより強力な規制措置が必要です。

主な調査結果

背景

カンディル、会社

Candiru Ltd.(現在はSaito Tech Ltd.として運営されている)は、2014年にEran ShorerとYaakov Weizmannによって設立されたイスラエルの会社です。同社の元の名前である Candiru は、ステルス性と侵襲性で知られる悪名高い寄生魚に由 しており、同社のスパイウェア機能の比喩です。NSOグループの初期投資家であるアイザック・ザック氏がカンディルの会長を務めると 報じ られた。同社は、NSOグループの共同創設者であるオムリ・ラヴィー氏とシャレフ・フリオ氏が共同設立したエンジェルシンジケートであるファウンダーズ・グループから資金を確保したと伝えられている。同社に関連する活動も、Microsoft によって SOURGUM という別名で 追跡されています 。このレポートでは、Insikt Groupは、カンディルという名前が最も広く知られているため、カンディルを使用しています。

時間の経過とともに、Candiruは業務の秘密を維持するために頻繁にオフィスを移転し、企業登録を再構築してきました(図1を参照)。

図 1: カンディルの法人登記年表(情報源: Recorded Future、由来 シチズンラボ)

元上級従業員が 起こし た訴訟の裁判所への提出書類によると、カンディル氏は2015年の12人から2018年には70人に増加した。同社は、2016年には早くもヨーロッパ、中東、アジア、ラテンアメリカの政府クライアントとの契約を確保し始めました。同年、1,000万ドルの収益を生み出し、2018年までに2,000万ドルから3,000万ドルに増加し、さらに60の政府顧客が関与する保留中の取引で3億6,700万ドルが発生したと伝えられています。交渉は地元の仲介業者を通じて行われることがよくありました。

2017年、Candiruはモバイルデバイス用のスパイウェアの開発 を開始し たと考えられており、後にイスラエルの新聞Haaretzが流出した内部文書に基づいてこの展開を確認しました。同年、カンディルはDF アソシエイツ株式会社(ד.אפ אסוסיאייטס בעיימ).

2018年、同社はGrindavik Solutions Ltd.(גרינדוויק פתרונותבעיימ)に ブランド名を変更 した。

ベンチャーキャピタリストのイーライ・ウォートマンがユニバーサル・モーターズ・イスラエル(UMI)に株式の10%を売却した後、2019年までにカンディルの評価額は約9,000万ドルとなった。報道によると、カタールの政府系ファンドからの投資も示唆されている。同年、Vice News は、Kaspersky Lab がウズベキスタン国家保安局 (SSS) によって使用されている Candiru スパイウェアを特定したと 報じ ました。SSSは、スパイウェアのステルス性をテストするためにカスペルスキーのウイルス対策ソフトウェアを使用し、政府の公式ドメイン(「itt[.]uz")C2通信用。この漏洩により、サウジアラビアやアラブ首長国連邦 (UAE) を含む他の Candiru の顧客が特定されました。同社は2019年にもTaveta Ltd.(טאבטהבעיימ)に 社名を変更 しました。

2020年、同社はSokotoという名前の子会社を設立しました。同年、カンディルの取締役会には、創設者のショラー氏とワイツマン氏、会長のアイザック・ザック氏、ユニバーサル・モーターズ・イスラエルの代表者が参加した。カンディ ルはまた 、社 を株式会社斎藤工科(סאייטו טק בעיימ)に変更しました。

2021年までに、企業提出書類にはユニバーサルモーターズイスラエル、ESOPマネジメントアンドトラストサービス株式会社がリストされています。(従業員の持株主プログラムを管理する)、および少数株主としてOptas Industry Ltd.(カタールファンドの代理)が参加しました。

2021年4月、サイバーセキュリティ企業ESETは、英国の報道機関Middle East Eye、フーシ派とヒズボラに関連する報道機関、サウジアラビアの反体制派メディアと思われる報道機関を標的とした水飲み場攻撃で、Candiruスパイウェアを使用したスパイ活動を発見し 。その他の犠牲者には、イラン大使館のウェブサイト、イタリアと南アフリカの航空宇宙企業、シリアとイエメンの政府のウェブサイトが含まれていた。

2021年7月、Citizen LabとMicrosoftは、Candiruのスパイウェアが複数の政府クライアントによって広く 展開 され、侵害、ハッキングが世界中で少なくとも100人の被害者を殺害したことを 明らかに しました。標的には、政治家、人権活動家、ジャーナリスト、学者、大使館職員、政治的反体制派が含まれ ていた 。マイクロソフトは、観察された犠牲者の約半数がパレスチナにいたと報告した。残りの犠牲者はイスラエル、イラン、レバノン、イエメン、スペイン(カタルーニャ)、イギリス、トゥルキエ、アルメニア、シンガポールだった。スパイウェアのインフラストラクチャは、サウジアラビア、イスラエル、UAE、ハンガリー、インドネシアを含むいくつかの国に追跡されました。Candiru が 使用する ドメインもターゲットにヒントを与えます。ドメインは、国際メディア、権利擁護団体(Black Lives Matter、アムネスティ・インターナショナル、難民インターナショナルを含む)、ジェンダー研究イベント(このテーマに関する会議を含む)、国際機関(事務総長イエメン特使室、国連、WHOを含む)を偽装した。

2021年11月、米国商務省は、悪意のある活動に従事する外国政府にスパイウェアを供給する役割を理由に、CandiruとNSOグループの両社をエンティティリスト に追加 した。

2022年4月、Citizen Labは、スペイン政府が認可した国内監視活動の一環として、カタルーニャ独立運動のメンバーがスパイウェア「Candiru」の標的になったと報告しました(図2参照)。伝えられるところによると、このキャンペーンには選挙で選ばれた役人や政治活動家の監視が含まれていたという。Candiru は特に、オープン情報源とデジタル投票コミュニティで働く 4 人のカタルーニュア人をターゲットにするために使用されました。 カタルーニャ人の技術者の一人、エリス・カンポは、米国に居住し、デバイスに米国のSIMカードを装着していたときに、クリックするとカンディル感染につながるリンクが記載された電子メールを 送られました 。さらに、シチズン・ラボは、サウジアラビアのソーシャルメディアユーザーを標的にした いがあると報告した。

図 2: Candiruターゲティングのタイムライン(情報源: Recorded Future)

買収後の疑いのある新会社

2025年4月、テクノロジーニュースメディアCTechは、Candiruが数か月前にIntegrity Partnersに3,000万ドルの取引で買収されたと 報じ ました。特に、エラド・ヨラン氏(テナブルの元CEOであるアミット・ヨラン氏の弟)をパートナーとするアメリカの投資会社インテグリティ・パートナーズも、以前にペガサス・スパイウェア開発者のNSOグループを買収する入札を っていた。

(脅威についての)レポート作成は、インテグリティ・パートナーズがカンディルの資産を取得し、全従業員とともに新 されたエンティティに譲渡したこと を示しています 。レポートの時点では、契約の第 1 段階はすでに 完了しており、従業員の新しい エンティティ 1,000 万ドルで。 カンディルの輸出ライセンスの譲渡を伴う第2段階は、必要な承認が得られ次第最終決定される予定だ。

特に、Candiru に関連するエイ リアスである Nerfwall に関連する WHOIS 記録により、Insikt Group はドメイン Integrity-labs[.]株式 会社2025年3月31日に登録されました。これに関連して、Insikt Groupは、2024年12月18日に会社番号517081089で設立され、イスラエルのヘルズリヤに拠点を置くIntegrity Labs Ltd(אינטגריטילאבס בע~מ)という名前のイスラエルの民間企業も 特定 しました。同社は、Recorded Futureが取得した企業報告書の記録に基づいて、Naftali Yoranによって監督されています。Open-情報源 (脅威についての)レポート作成 によると 、Elad Yoran は Naftali Yoran としても知られています。

ライセンスモデル

イスラエルの報道機関であるTheMarkerが 公開 したリークされたCandiruプロジェクトの提案によると、Intellexaなどの他のスパイウェアベンダーと同様に、Candiruは同時感染の数(いつでも積極的に監視できるターゲットの数を指す)に従ってスパイウェアのライセンスを取得していることが示唆されています。たとえば、1,600万ユーロの提案では、無制限の感染試行は許可されていますが、同時に監視は10台に制限されています。顧客はこの能力を拡張できます:さらに150万ユーロで、さらに15台のデバイスを監視し、さらに1つの国をターゲットにする許可を得ることができます。550万ユーロで、さらに25台のデバイスを監視し、さらに5か国で事業を行うことができます(図3を参照)。別の 150 万ユーロのアップグレードでは、リモート シェル機能が提供され、感染したデバイスへの完全なコマンド ライン アクセスが許可されますが、ファイルのアップロードや有罪コンテンツの植え付けに使用される可能性があるため、特に懸念が生じています。

図 3: Candiru の価格オプション (情報源: シチズンラボ)

リークされた提案ではさらに、この製品は「合意された地域」内でのみ動作することを意図していると述べられており、米国、ロシア、中国、イスラエル、イランを制限国として明示的にリストしている。これらの制限にもかかわらず、Microsoft はイランとイスラエルで Candiru の被害者 を特定し ており、場合によってはスパイウェアが公式に認可された地域を超えて展開される可能性があることを示しています。これを裏付けるために、Citizen Lab の 2021 年のレポートで分析されたターゲティング インフラストラクチャには、ロシアの郵便サービスになりすましたドメイン が含まれています 。この報告書には、前述のように、米国に住んでいたカタルーニュア人の技術者が標的にされたことも詳述されている。

デビルズタン

Candiru によって開発された Windows ベースのスパイウェアに Microsoft が付けた名前である DevilsTongue は、幅広い機能を備えた C および C++ で記述された、複雑でモジュール化されたマルチスレッド マルウェアです。DevilsTongue について知られていることのほとんどは、Microsoft の分析と、TheMarker が公開したリークされた Candiru プロジェクトの提案に由来しています。ただし、疑わしいコンポーネントと機能の広範なリスト、および両方のレポートの古いことを考慮すると、Insikt Group は、マルウェアの機能はそれ以降に進化した可能性が高いと評価しています。

流出した文書によると、Candiru のスパイウェアは被害者のデバイスへのディープ アクセスを目的として設計されており、ファイルの抽出、ブラウザのデータ収集、さらには Signal Messenger デスクトップ アプリからの暗号化されたメッセージの盗難さえ可能になりました。図 4 は、リークされた Candiru プロジェクト提案からの抜粋を示しており、スパイウェアの Windows 固有の機能の概要を示しています。

図 4: Windows デバイスでの Candiru の機能 (情報源: シチズンラボ)

Microsoft の詳細な分析によると、DevilsTongue はユーザー モードとカーネル モードの両方のコンポーネントを備えたステルス マルウェアです。正規の COM クラス レジストリ キーの DLL パスを C:\Windows\system32\IME\ にドロップされた第 1 段階の DLL で上書きすることで、COM ハイジャックによる永続性を維持し、暗号化された第 2 段階のペイロードを構成ディレクトリに格納します。署名されたサードパーティ ドライバー (physmem.sys)カーネルレベルのメモリアクセスとAPI呼び出しプロキシを有効にして、検知を回避します。 システムの安定性を維持するために、DevilsTongue はハイジャック中に元の COM DLL を再挿入し、LoadLibraryExW 戻り値のシェルコード操作によってこのアクションを偽装します。追加のペイロードはすべて復号化され、メモリ内でのみ実行されるため、マルウェアは LSASS やブラウザから認証情報を盗み、Signal メッセージにアクセスし、ブラウザの Cookie を使用して Facebook、Gmail、VK などのプラットフォームで被害者になりすますことができます。このマルウェアは、スクラブされたメタデータ、暗号化、ファイルごとに一意のハッシュを使用しているため、検知と分析はさらに複雑になります。

CHAINSHOTとの重複

CHAINSHOT は、以前に Candiru に関連付けられていた エクスプロイト キットです。Stealth Falcon や SandCat などの脅威アクター グループによって使用されていることが観察されており、後者はウズベキスタン政府と関係があると考えられています。SandCatは、複数のゼロデイ脆弱性が暴露されただけでなく、ウズベキスタンの国家安全保障局(SSS)に直接帰属する可能性を生んだ一連の 運用セキュリティエラー により、2019年に大きな注目を集めました。特に、PuzzleMaker として知られる別の脅威アクターも、まれではあるが排他的に使用されているわけではない可能性のある手法を使用しているため、CHAINSHOT に関連して 言及 されています。CHAINSHOT と Candiru の関係は当初状況によるものでしたが、Citizen Lab の研究者らは後により明確な関連性を確立しました。彼らは、パロアルトネットワークスの2018年のレポートに 文書化された インフラストラクチャにCHAINSHOTの最終的なスパイウェア配信URLを結び付ける、一致するIPアドレスを含む共有フィンガープリントを特定し、それによってCHAINSHOTとCandiruの関連性を強化しました。

初期アクセスベクトル

上記のリーク資料によると、Candiru のスパイウェアは、悪意のあるリンク、武器化されたファイル、中間者 (MitM) 攻撃、物理アクセスなど、複数のベクトルを通じて 展開 される可能性があります。しかし、 Insikt Groupの現在の知識に基づくと、public(脅威についての)レポート作成は、カンディル関連感染症が関与する文書化された症例で最初の2つのベクターの使用を確認しただけですが、他のベクターも採用されている可能性が高いです。 悪意のあるリンクに関しては、Candiru は、スピアフィッシング メールや戦略的 Web サイト侵害など、攻撃者が制御するリンクの両方を使用してスパイウェアを配信しており、感染には通常、Web ブラウザーを標的とするエクスプロイトが関与しています (1, 2)。

たとえば、Google の脅威分析グループ (TAG) は 2021 年に、2 つの Google Chrome レンダラーのリモート コード実行ゼロデイ脆弱性 (CVE-2021-21166 および CVE-2021-30551) が Candiru によって悪用されたことを 明らかに しました。これらのエクスプロイトは、アルメニアにいると考えられている特定のターゲットに送信された使い捨てリンクを介して配布されました。このリンクは、被害者の利益に関連する正規の Web サイトになりすました攻撃者が管理するドメインに受信者を誘導しました。Google TAG は CVE-2021-21166 が WebKit にも影響を与えることを発見し、Apple は CVE-2021-1844 としてパッチを適用するよう促しました。ただし、Safari ユーザーに対して使用されたという証拠はありません。

2021年4月、Google TAGは、Internet Explorerを介してWebコンテンツを読み込む悪意のあるOfficeドキュメントでアルメニア人ユーザーを標的としたキャンペーン を特定し ました。これは、Shell.Explorer.1 OLE オブジェクトを使用してリモート ActiveX オブジェクトを埋め込むか、VBA マクロを使用して Internet Explorer プロセスを起動して Web ページに移動することによって実現されました。フィンガープリンティング段階の後、ターゲットにはInternet Explorerのゼロデイエクスプロイトが提供され、後にCVE-2021-33742が割り当てられ、2021年6月にMicrosoftによってパッチが適用されました。TAGの分析によると、Internet Explorerのエクスプロイトは、前述のGoogle Chromeエクスプロイトの原因であるのと同じエンティティによって開発および提供されました。

2022 年 7 月、アバストは、Google Chrome 内の WebRTC における重大度の高いヒープ バッファ オーバーフローの脆弱性である CVE-2022-2294 が、中東のユーザーを標的にブラウザのレンダラー プロセスでシェルコードを実行するために悪用されたと 報告 しました。このエクスプロイトは Windows 専用に設計されており、サンドボックス エスケープと組み合わされた可能性がありますが、第 2 段階のエクスプロイトは回復できませんでした。レバノンでは、攻撃者は、攻撃者が制御するドメインから悪意のあるJavaScriptを挿入する前に、おそらくテスト段階の一環として、持続的なクロスサイトスクリプティング(XSS)攻撃の兆候を含む通信社の従業員が使用するWebサイトを侵害し、ハッキングしました。 この挿入されたコードは、攻撃者が制御するドメインのチェーンを介して意図した被害者をエクスプロイト サーバーに選択的にリダイレクトしました。アバストのレポートに先立ち、ESET は戦略 的ウェブ侵害、イエメンを中心とした中東全域でのハッキングを報告しており、カンディルのせいだと中程度の信頼度で考えていました。

前述のベクトル以外にも、2023 年の報告によると 、カンディルはシャーロックとして知られる能力も持っていました。Sherlock は、イスラエルのソフトウェア メーカー Insanet によって 開発された 商用監視機能で、Windows、Android、iOS を実行しているデバイスに感染することができます。ソフトウェアの脆弱性を悪用する従来のスパイウェアとは異なり、Sherlock はプログラマティック広告 を活用 してペイロードを配信します。アドエクスチェンジを通じて悪意のある広告を掲載することで、人口統計や場所に基づいて特定の個人をターゲットにし、ユーザーのデバイスに広告が表示されたときにスパイウェアが密かにインストールされる可能性があります。

分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。