シンガポールの大手通信企業が中国系APTの標的に　ルートキットとゼロデイが悪用される

nosa

2026.02.12

シンガポールの大手通信企業が中国系APTの標的に　ルートキットとゼロデイが悪用される

SecurityWeek – February 10, 2026

シンガポールのサイバーセキュリティ機関CSAとその開発機関IMDAの発表によると、同国の大手通信事業者4社は昨年、中国のAPT「UNC3886」に攻撃を受けていたことが判明した。

この攻撃は昨年7月に初めて公表されたが、当時UNC3886が関与していること以外の詳細は明かされていなかった。しかし今年2月9日公開のプレスリリースにおいて、CSAは「UNC3886がシンガポールの通信業界に対し、意図的かつ標的を絞り、綿密に計画された攻撃を実行した。シンガポールの主要通信事業者4社（M1、SIMBA Telecom、Singtel、StarHub）すべてが標的にされている」と発表した。UNC3886は遅くとも2021年から活動しているサイバースパイグループとされ、IvantiやJuniper、VMware各製品の脆弱性を狙うことで知られる。

UNC3886はこのキャンペーンの一環として、ファイアウォールのゼロデイエクスプロイトを含む高度なツールを使い、4社のネットワークにアクセスして少量の技術データを盗み出したようだ。検出を回避し、侵害された環境への継続的なアクセスを維持するために、ルートキットを展開していたことも確認されたという。

現在のところ、顧客レコードのような機微データや個人データがアクセスまたは抽出された痕跡はなく、ネットワークとシステムの一部に限定的なアクセスを許したものの、インターネットなどの通信サービスが妨害された証拠も確認されていない。CSAは各社と協力し、侵入の調査、脅威アクターのアクセス遮断、修復措置の実施、影響を受けたネットワーク全体の監視機能の拡張に取り組むと述べた。

CastleLoaderマルウェアを使ったキャンペーンでLummaStealer感染が急増

BleepingComputer – February 11, 2026

ClickFixの手法でCastleLoaderマルウェアを拡散するソーシャルエンジニアリングキャンペーンにより、LummaStealer（別名LummaC2）の感染が急増しているようだ。

LummaStealerはマルウェア・アズ・ア・サービス（MaaS）として展開されるインフォスティーラー（情報窃取型マルウェア）で、Webブラウザに保存された認証情報やCookie、暗号資産ウォレットの詳細、各種文書をはじめ、セッションCookie、認証トークン、VPN設定、アカウントデータなどさまざまな機微データを盗み出す。2025年5月に主な運営者と2,300件以上のドメインがテイクダウンされたものの、そのわずか2か月後にはMaaSの活動が再び始まっていたという。

サイバーセキュリティ企業Bitdefenderの最新レポートによると、LummaStealerのオペレーションは2025年12月から2026年1月にかけて大幅に増加。現在はCastleLoaderと呼ばれるマルウェアローダーを介して配信され、ClickFixを多用する傾向が高まっていると警告された。

CastleLoaderは2025年初頭に出現し、ClickFixを含む多様な手口で複数のインフォスティーラーやリモートアクセス型トロイの木馬（Stealc、RedLine、Rhadamanthys、MonsterV2、CastleRAT、SectopRAT、NetSupport RAT、WarmCookie）を拡散。高度に難読化されたスクリプトベース（AutoITまたはPython）のマルウェアローダーとされ、LummaStealerのペイロードを完全にメモリ内で復号・ロード・実行する。