イラン関連のボットネット・サーバが露出:15 ノードのリレーネットワークと SSH 展開フレームワーク

Iran-Linked Botnet Exposed After Open Directory Leak Reveals 15-Node Relay Network

2026/03/19 CyberSecurityNews — イランに関連する脅威アクターが、自身のステージング・サーバ上にオープン・ディレクトリを放置したことで、運用インフラ全体が露出し、稼働中のボットネット・オペレーションの詳細な内部情報が明らかになった。この漏洩により、15 ノードのリレーネットワーク/大規模 SSH 展開フレームワーク/被害端末上でコンパイルされる DDoS ツール/開発中のハードコードされた C2 アドレスを持つボット・クライアントが確認された。

この露出は、2026年2月24日に明らかになっていた。イランの ISP である Dade Samane Fanava Company (PJS) のインフラ上でホストされる、IP アドレス “185.221.239[.]162” のサーバが、定期スキャン中に検出されたことで発覚した。

このサーバには、59 のサブ・ディレクトリにわたる 449 のファイルが含まれていた。具体的には、トンネルコンフィグ・ファイル/Python ベースの展開スクリプト/コンパイル済み DDoS バイナリ/C 言語による DoS ソースコード/SSH 経由で標的システムを攻撃するための認証情報リストなどである。

Open directory file manager in AttackCapture (Source - Hunt.io)
Open directory file manager in AttackCapture (Source – Hunt.io)

Hunt.io のアナリストたちが、AttackCapture™ 機能を用いたイラン関連インフラの定期レビューにおいて、この露出したサーバを特定した。この機能は、インターネット上のオープンディレクトリをインデックス化するものである。

共通の Let’s Encrypt TLS サーティフィケートに紐づくワイルドカード・ドメイン “*.server21[.]org” を基点として分析した結果、同一のフィンガープリントを共有する 14 の追加 IP アドレスが発見された。

その内訳はフィンランドの Hetzner Online GmbH にホストされた 7 つと、Dade Samane Fanava Company (PJS) および Sindad Network Technology PJSC などのイラン ISP に登録された 7 つである。一連のドメインは、2023年に登録され、DNS はイランの CDN プロバイダ ArvanCloud (arvancdn[.]ir) を経由している。

Certificate associations sharing the same fingerprint (Source - Hunt.io)
Certificate associations sharing the same fingerprint (Source – Hunt.io)

このインフラは、二重の用途で使用されていた。”config-client.yaml” というコンフィグ・ファイルは、Paqet を用いた KCP ベースのパケット・トンネルを記述している。これは、イランの国家インターネット・フィルタリングを回避するためのオープンソース・ツールであり、イランのサーバからフィンランドの Hetzner ノードへ向けた、暗号化トラフィックを転送するために用いられていた。

また、ユーザー・アカウント管理およびトラフィック制御機能を持つ Web ベース・プロキシパネル “3x-ui” の存在は、このインフラ上で商用 VPN リレー・サービスも同時に運用されていたことを示している。

露出した bash 履歴ファイルは、攻撃者の作業セッションを 3 段階で示していた。具体的には、トンネル展開/DDoS ツール開発/botnet 構築である。

ペルシャ語によるインライン・コメントと、キーボード入力ミスに起因するアラビア文字の存在から、イランを拠点とする攻撃者である可能性が高いとされる。

Snippet of the bash history recovered in AttackCapture (Source - Hunt.io)
Snippet of the bash history recovered in AttackCapture (Source – Hunt.io)

履歴内の DDoS ターゲットには、ポート30120の FiveM GTA サーバ (5.42.223[.]60) および HTTP/HTTPS サービスが含まれていた。カスタム C ツール (syn.c/flood.c/au.c) に加え、GitHub から取得した MHDDOS が、ステージング・ホスト上で直接コンパイルされていた。

SSH 駆動型の大規模展開

このボットネット感染の中核的な手法は、ohhhh.py と呼ばれる Python スクリプトである。このスクリプトは、”host:port|username|password” 形式の認証情報を読み取り、一度に 500 のコンカレント SSH セッションを標的マシン上に確立する。

セッションの確立後に、cnc.c という bot クライアント・ソースコードがステージング・サーバから取得され、gcc -pthread により被害端末上でコンパイルされ、分離された screen セッション内で実行される。

このオンホスト・コンパイル手法は、事前のビルド済みバイナリの転送を回避し、検知を逃れることを目的としている。結果として、ハッシュ・ベース検知はほぼ無効化される。

その後に、コンパイルされたバイナリは感染ホスト上で hex にリネームされ、通常のシステム・チェックで検知されにくい名称を持つことになる。

Botnet deployment (Source - Hunt.io)
Botnet deployment (Source – Hunt.io)

BOT CLIENT v1.0 として識別される bot クライアントは、新規の感染ホストを UnknownBOT ONLINE として登録し、IP アドレス/ホスト名/プロセス ID を含むビーコンを送信する。

ステージング・サーバがオフラインとなった場合であっても、内蔵された再接続ロジックにより、感染端末は C2 への接続試行を継続する。

補助スクリプト yse.py はキルスイッチとして機能し、pkill -9 screen を実行することで全感染ホスト上のセッションを遠隔から停止可能にする。

防御側にとって必要なことは、このオペレーションに関連する全 IP アドレスのブロックである。それに加えて、ohhhh.py/yse.py/cnc バイナリに関連するファイル名と、SHA-256 ハッシュを監視すべきである。

SSH アクセスの強化 (鍵ベース認証の強制/root ログインの無効化/同時セッション制限) は、この認証情報ベースの攻撃手法に対して有効な対策である。

また、サーバ上での予期しない gcc コンパイル活動を検知の対象にすべきである。オンホストでのバイナリ生成は、従来のバイナリ検知では捕捉困難な脅威の重要な指標となる。

訳者後書:イランに関連する脅威アクターが運用していた、ボットネット構築用インフラの露出について解説する記事です。攻撃者が自身のステージング・サーバの設定を誤り、誰でも閲覧可能な “オープン・ディレクトリ” 状態で放置したことで、ソースコード/展開スクリプト/攻撃対象のリストなどが明らかにされました。このボットネットの構築プロセスは、 以下の 3 段階で進められていました。

  • 大量生産された認証情報リストを使い、Python スクリプトで最大 500 セッションの SSH 接続を同時に確立する。
  • 侵入した端末上で DDoS 攻撃用のソースコードをダウンロードし、 その場でビルド/実行する。
  • 実行されたバイナリを ” hex ” などの無害に見える名前に変更し、 システムに常駐させる

防御側の対策としては、 SSH 接続をパスワード認証ではなく鍵認証に限定し、 root での直接ログインを禁止することが極めて有効とのことです。