中国との関連疑われるスパイグループが多数の企業をBRICKSTORMバックドアで侵害、Googleが警告

佐々山 Tacos

2025.09.26

中国との関連疑われるスパイグループが多数の企業をBRICKSTORMバックドアで侵害、Googleが警告

The Register – Wed 24 Sep 2025

中国との関連が疑われる「UNC5221」などのグループによって「多数」の企業ネットワークが侵害されているとして、Googleの脅威インテリジェンスグループ（GTIG）とMandiantが注意喚起。これらの侵入事案では、従来型のEDRツールに対応していないアプライアンスにBRICKSTORMなどのバックドアマルウェアが展開されており、長期間にわたってステルス性を維持しようとする意図が伺えるという。

Google GTIG／Mandiantは2025年3月以降、法律サービス、SaaSプロバイダー、BPO（ビジネス・プロセス・アウトソーシング）、テクノロジーなどを中心にさまざまな業界の組織における侵入インシデントに対応してきた。こうした侵入においては、スパイ行為だけでなく、ゼロデイの開発に役立つデータの収集や、下流組織へのより広範なアクセスに繋げるための踏み台確保なども攻撃の目的になっている可能性があるとされる。これらの侵害は、平均393日間にわたって未検出のままだったという。

これほど長い期間検出されずに潜伏することが可能な理由の1つが、BRICKSTORMなどのバックドアを、EDRツールで保護されていないアプライアンス上で使用するため。Goで書かれ、SOCKSプロキシ機能を備える同マルウェアはLinuxやBSDベースのアプライアンス上で発見されている。同マルウェアが見つかったアプライアンスの種類は多様だったものの、UNC5221は一貫してVMware vCenterおよびESXiホストを狙っているという。

どの侵入においても、同グループは開発者や管理者、その他中国政府が経済／スパイ活動上関心を抱きそうな人物など、重要な個人のEメール受信箱を標的にしており、Microsoft Entra IDを「mail.read」または「full_access_as_app」のスコープで用いてターゲットアカウントのメールボックスにアクセスしていた。こうしたファイルの抽出時には、BRICKSTORMのSOCKSプロキシ機能が使われていたという。

BRICKSTORMは2024年4月にGoogleにより文書化されているが、UNC5221はこのマルウェアに改良を加えてさらに検出を困難にしているものとみられる。BRICKSTORMがGarbleで難読化されていたケースやカスタムのwssoftライブラリの新バージョンが使われていたケースが何件か観測されているほか、「ディレイ」タイマーが内臓されていたケースも少なくとも1件観測されたという。さらにGoogleは、被害者企業がインシデントレスポンス調査を開始した後に、内部のvCenterサーバーにBRICKSTORMが展開されたこともあったと報告。この事例は、同脅威アクターがリアルタイムでモニタリングを実施していたこと、そして永続性を維持するために戦術をすばやく変更する能力を有していることを示していると指摘した。

Googleはさらに、Apache Tomcatサーバー向けの悪意あるJava Servletフィルター「BRICKSTEAL」がインストールされたケースにも言及。このフィルターがHTTP Basic認証ヘッダーに含まれるユーザー名やパスワードを収集できる可能性も指摘した。

UNC5221によるこれらの攻撃ではC2ドメインやマルウェアサンプルが使い回されることがないため、IoCは最適なハンティング手段ではないとして、GoogleはTTPベースのアプローチを推奨。9つのステップから成るハンティングガイダンスを提供したほか、nixベースのアプライアンス上で使用可能なBRICKSTORMのアクティビティをハントするためのスキャナーツールもGitHub上でリリースしている。