Suspected espionage-driven threat actors from Iran have been observed deploying backdoors like TWOSTROKE and DEEPROOT as part of continued attacks aimed at aerospace, aviation, and defense industries in the Middle East. The activity has been attributed by Google-owned Mandiant to a threat cluster tracked as UNC1549 (aka GalaxyGato, Nimbus Manticore, or Subtle Snail), which was first documented

UNC1549 uses phishing, third-party breaches, and custom backdoors to infiltrate aerospace, telecom, and defense networks.

Suspected espionage-driven threat actors from Iran have been observed deploying backdoors like TWOSTROKE and DEEPROOT as part of continued attacks aimed at aerospace, aviation, and defense industries in the Middle East. The activity has been attributed by Google-owned Mandiant to a threat cluster tracked as UNC1549 (aka GalaxyGato, Nimbus Manticore, or Subtle Snail), which was first documented

Iranian Hackers Use DEEPROOT and TWOSTROKE Malware in Aerospace and Defense Attacks

UNC1549 uses phishing, third-party breaches, and custom backdoors to infiltrate aerospace, telecom, and defense networks.

イラン発とみられるスパイ活動を目的とした脅威アクターが、航空宇宙、航空、そして中東の防衛産業を標的とした継続的な攻撃の一環として、TWOSTROKEやDEEPROOTのようなバックドアを展開していることが確認されています。 この活動はGoogle傘下のMandiantによって、UNC1549（別名Nimbus ManticoreまたはSubtle Snail）と呼ばれる脅威クラスターに帰属されており、このグループは脅威インテリジェンス企業によって昨年初めに初めて文書化されました。 「2023年後半から2025年にかけて活動しているUNC1549は、サービスプロバイダーからその顧客へのピボットなど、サードパーティとの関係を悪用した侵入、サードパーティからのVDIブレイクアウト、そして非常に標的を絞った役割関連のフィッシングなど、高度な初期アクセス手法を用いていました」と研究者のMohamed El-Banna、Daniel Lee、Mike Stokkel、Josh Goddardは述べています。 この情報開示は、スイスのサイバーセキュリティ企業PRODAFTが、ハッキンググループをヨーロッパの通信会社を標的としたキャンペーンに関連付け、LinkedInを利用したリクルートテーマのソーシャルエンジニアリング攻撃で11の組織への侵入に成功したと発表してから約2か月後のことです。 Googleによると、感染経路は、認証情報を盗むまたはマルウェアを配布するためのフィッシングキャンペーンと、サードパーティのサプライヤーやパートナーとの信頼関係を利用する手法の組み合わせです。後者のアプローチは、防衛請負業者を攻撃する際に特に巧妙な戦略であることを示しています。 これらの組織は堅牢な防御を持つ傾向がありますが、サードパーティパートナーにはそうでない場合もあり、UNC1549はこのサプライチェーンの弱点を利用して、まず接続された組織にアクセスし、その後本来の標的に侵入します。 多くの場合、これはCitrix、VMWare、Azure Virtual Desktop and Application（VDA）などのサービスに関連する認証情報を、これら外部組織から取得して悪用し、初期の足掛かりを確立した後、仮想化セッションの制約を突破して基盤となるホストシステムへアクセスし、標的ネットワーク内で横展開活動を開始することを意味します。 もう一つの初期アクセス経路は、就職機会に関連する内容を装ったスピアフィッシングメールを利用し、受信者を偽のリンクに誘導してマルウェアをダウンロードさせるものです。UNC1549はこれらの攻撃でITスタッフや管理者も標的にし、より高い権限を持つ認証情報を取得してネットワークへの深いアクセスを得ようとしています。 攻撃者が内部への侵入に成功した後のポストエクスプロイト活動は、偵察、認証情報の収集、横展開、防御回避、情報窃取に及び、ネットワークやIT文書、知的財産、メールなどを体系的に収集します。 この取り組みの一環として脅威アクターが使用したカスタムツールの一部は以下の通りです： MINIBIKE（別名SlugResin）：システム情報の収集、追加ペイロードの取得による偵察、キーストロークやクリップボード内容の記録、Microsoft Outlook認証情報の窃取、Google Chrome・Brave・Microsoft Edgeからのウェブブラウザデータ収集、スクリーンショット取得を行う既知のC++バックドア TWOSTROKE：システム情報収集、DLLのロード、ファイル操作、永続化を可能にするC++バックドア DEEPROOT：シェルコマンドの実行、システム情報の列挙、ファイル操作をサポートするGolangベースのLinuxバックドア LIGHTRAIL：Azureクラウドインフラを利用して通信するオープンソースSocks4aプロキシLastenzugをベースにしたとみられるカスタムトンネラー GHOSTLINE：通信にハードコードされたドメインを使用するGolangベースのWindowsトンネラー POLLBLEND：自身の登録やトンネラー設定のダウンロードにハードコードされたC2サーバーを使用するC++ Windowsトンネラー DCSYNCER.SLICK：権限昇格のためのDCSync攻撃を実行するためのDCSyncerベースのWindowsユーティリティ CRASHPAD：ウェブブラウザ内に保存された認証情報を抽出するC++ Windowsユーティリティ SIGHTGRAB：定期的にスクリーンショットを取得しディスクに保存するために選択的に展開されるC言語のWindowsユーティリティ TRUSTTRAP：ユーザーを騙してMicrosoftアカウントの認証情報を入力させるWindowsプロンプトを表示するマルウェア また、攻撃者はAD Explorerのような公開プログラムを利用してActive Directoryをクエリしたり、Atelier Web Remote Commander（AWRC）でリモート接続の確立、偵察、認証情報の窃取、マルウェアの展開を行ったり、SCCMVNCでリモートコントロールを行っています。さらに、脅威アクターはRDP接続履歴のレジストリキーを削除することで調査の妨害も試みているとされています。 「UNC1549のキャンペーンは、調査者の動きを先読みし、検出後も長期的な持続性を確保することに重点を置いている点で際立っています」とMandiantは述べています。「彼らは数か月間静かにビーコンを発するバックドアを設置し、被害者が駆除を試みた後にのみ再度アクセスするためにそれらを有効化します。」 「彼らは広範なリバースSSHシェル（これによりフォレンジック証拠が制限される）や、被害者の業界を戦略的に模倣したドメインを活用して、ステルス性とコマンド＆コントロール（C2）を維持しています。」 翻訳元:

UNC1549 uses phishing, third-party breaches, and custom backdoors to infiltrate aerospace, telecom, and defense networks.

DJ set from Nitefreak, recorded at MOGA Essaouira in October 2025. He brought some serious AfroHouse Vibes tunes to the main Stage, during the unforgettabe Takeover by Deeproot Tribe at #theMOGAEssa25. Sit back, tune in and dive back into the magic! mogafestival #Essaouira #Morocco #electronicmusic #Nitefreak #afrohouse