中国関連APTグループPlushDaemon、韓国製VPNのサプライチェーンを侵害

佐々山 Tacos

2025.10.27

中国関連APTグループPlushDaemon、韓国製VPNのサプライチェーンを侵害

Help Net Security – January 22, 2025

新たに特定された中国関連のAPTグループ「PlushDaemon」によって実行されたサプライチェーン攻撃について、ESETの研究者が報告。この攻撃では韓国のVPNプロバイダーIPanyのWebサイトで提供されていたNSISインストーラーに有害なコードが仕込まれ、同インストーラーをダウンロードすると正規ソフトと共にバックドア「SlowStepper」がデプロイされるようになっていたという。

PlushDaemonはこれまで知られていなかったグループだが、遅くとも2019年から中国、台湾、香港、韓国、米国、ニュージーランドの個人や組織に対してスパイ活動を行ってきたとされる。IPanyのインストーラーを悪用したサプライチェーン攻撃以外にも、中国産のアプリの正規アップデートをハイジャックしたり、Webサーバーの脆弱性を突いたりといった方法で初期アクセスを獲得することもあるという。

初期アクセス後に展開されるSlowStepperはPlushDaemonが独自に使用するカスタムバックドア。DNSを使った多段階のC2プロトコルや、スパイ性能を備えた数十ものPythonモジュールを追加でダウンロード・実行できる点が特徴だという。またWebブラウザからたようなデータを収集することが可能なほか、写真の撮影、ドキュメントのスキャン、WeChatやTelegramなどのチャットアプリを含むさまざまなアプリからの情報窃取、音声や動画を通じたスパイ行為の実施、パスワード認証情報の窃取といった機能も持ち合わせている。

ESETの研究者は、SlowStepperをはじめとするPlushDaemonのツールセットにおけるコンポーネントの豊富さやバージョン数の多さを踏まえ、同APTグループが「幅広いツール類の開発に熱心に取り組んできたことが示されている」と指摘。それ故に、警戒すべき重大な脅威になっていると述べた。