CL-STA-0969の10か月にわたるスパイキャンペーンが明らかに

nosa

2025.08.04

CL-STA-0969、10か月にわたるスパイ活動が明らかに　通信ネットワークへ密かにマルウェアをインストール

The Hacker News – Aug 02, 2025

パロアルトネットワークスのインシデント対応チーム「Unit 42」の調査により、国家支援型脅威アクターCL-STA-0969が東南アジアの通信事業者を狙い、侵害されたネットワークのリモート制御を試みていることが判明した。

確認されたインシデントは複数存在し、そのうち1件は2024年2月〜11月にかけて同地域の重要な通信インフラを標的にしていたとのこと。これらの攻撃はリモートアクセスを可能にする複数のツールの使用と、モバイルデバイスから位置データを収集できるCordscanの導入を特徴とする。CL-STA-0969の背後にいる脅威アクターは「高度な運用セキュリティ（OPSEC）を維持し、検出を回避するために多様な防御回避手法を用いていた」と説明された。

ある事例ではSSH認証メカニズムに対するブルートフォース攻撃で初期侵入が行われ、そのアクセスを利用してAuthDoorやCordscan、GTPDOOR、EchoBackdoorなどさまざまなインプラントがドロップされたと考えられている。ただし、調査したネットワークおよびシステムからデータ流出の証拠は発見されず、攻撃者がモバイルネットワーク内で標的のデバイスを追跡したり、通信したりする試みも行われていなかったという。

また、Unit 42はCL-STA-0969について、Liminal Pandaの名で追跡されているクラスターと多くの共通点があるだけでなく、「LightBasinやUNC3886、UNC2891、UNC1945など、報告されているほかのグループや活動クラスターとも攻撃ツールに重複が見られる」と指摘した。

Liminal Pandaは遅くとも2020年以降、南アジアとアフリカの通信部門から情報を盗んでいる中国系スパイグループとされ、その攻撃手法に共通点があるLightBasin（別名UNC1945）も2016年から通信部門を標的としている。さらに、このLightBasinはATMインフラを攻撃する金銭目的の集団UNC2891と共通点があるなど、前述の各グループには重複する点があるようだ。