SnappybeeマルウェアとCitrixの脆弱性用いるハッカーがヨーロッパの通信組織を侵害

2025年10月22日：サイバーセキュリティ関連ニュース

SnappybeeマルウェアとCitrixの脆弱性用いるハッカーグループがヨーロッパの通信組織を侵害

The Hacker News – Oct 21, 2025

サイバーセキュリティ企業Darktraceの調査により、あるヨーロッパの通信組織が中国系サイバースパイグループSalt Typhoonと連携する脅威アクターの攻撃を受けていたことがわかった。

この攻撃は2025年7月第1週に実施され、初期アクセスの獲得にはCitrixのNetScaler Gatewayアプライアンスが悪用されたという。今回の攻撃で拡散されたマルウェアファミリーの1つはSnappybeeマルウェア（Deed RAT）で、これは過去にSalt Typhoonが使ったShadowPad（PoisonPlug）マルウェアの後継であることが疑われている。このマルウェアは、以前から中国系ハッカーグループに多用されているDLLサイドローディングと呼ばれる手法によって起動される。

Salt TyphoonはEarth Estries・FamousSparrow・GhostEmperor・UNC5807の別名でも知られる高度持続的脅威（APT）グループで、遅くとも2019年には活動を開始。エッジデバイスにおけるセキュリティ上の欠陥を悪用して侵入し、北米やヨーロッパ、中東、アフリカの80か国以上の被害者から機微データを盗み出してきた。昨年は米国の通信サービスプロバイダー、エネルギーネットワーク、政府システムへの攻撃で注目を集めている。

ロシア系ハッカー集団Coldriver、マルウェアを暴かれた直後に新たなツールを導入　Googleの調査で明らかに

The Record – October 22nd, 2025

ロシア政府との関連が指摘されるハッカーグループColdriverは、今年5月にマルウェアの詳細を研究者に暴露された直後に3種の代替ツールを開発していたようだ。Google脅威インテリジェンスグループ（GTIG）の最新調査で明らかになった。

GTIGが21日に発表したレポートによると、Star Blizzard・Callisto・UNC4057の名でも追跡されているこのグループは、GoogleがLostKeysマルウェアの詳細やIoCなどをブログ記事で共有してから5日以内に新たな有害ツールの展開を開始したとのこと。それ以降、LostKeysのさらなる使用事例は確認されていないものの、GTIGはColdriver関連の新たなマルウェアが「これまでのどのキャンペーンよりも積極的に」展開されていることを突き止めたという。

新たに特定されたツール群はNOROBOT、YESROBOT、MAYBEROBOTと名付けられ、いずれも重要性の高い標的から密かに情報を盗み出す目的で設計されたと記されている。Coldriverが長らく活用してきた認証情報を狙ったフィッシングの手法に代わり、カスタムマルウェアに力を入れるようになった理由はわかっていない。

Coldriverは遅くとも2022年から活動しており、ロシア諜報機関の指示の下で動いていると考えられている。同グループは東ヨーロッパと米国の人権団体や独立系メディア、市民社会組織などを狙ったスパイ活動で知られる。

【開催決定！】日本最大級サイバー（脅威）インテリジェンスイベント

サイバーインテリジェンスイベント「Cyber Intelligence Summit 2025」を開催します！

3大メガバンクスペシャル対談に加え、JC3、公安調査庁、楽天、リクルート、パナソニックなどからスペシャリストが登壇！海外からもアナリストや専門家が多数登壇予定です！

開催概要

日 程：2025年11月5日（水）、6日（木）、7日（金）

会 場：ベルサール虎ノ門（オンライン配信無し）

料 金：フルパス ¥10,000｜展示パス 無料

登 録：特設サイトより事前登録