中国系脅威アクターUNC2814、世界中の通信会社や政府機関に侵入

yab

2026.02.26

中国系脅威アクターUNC2814、世界中の通信会社や政府機関に侵入

BleepingComputer – February 25, 2026

Googleの脅威インテリジェンスグループ（GTIG）とMandiantは、中国系脅威アクターUNC2814によるものとみられる国際的なスパイキャンペーンを阻止し、その詳細を公開した。キャンペーンは遅くとも2023年から続いており、少なくとも42か国の企業や組織53組が狙われていたとみられる。主な標的は通信会社と政府系組織であり、Google Sheets APIを悪用してトラフィックを隠蔽していた。

初期アクセスベクターは明らかになっていないものの、UNC2814は以前にもWebサーバーやエッジシステムの脆弱性を悪用して同様のアクセスを獲得していたとGoogleは述べる。

キャンペーンでは「GRIDTIDE」と呼ばれるC言語ベースの新型バックドアが展開され、コマンドアンドコントロール（C2）のプラットフォームとしてGoogle Sheetsが使われていたという。GRIDTIDEとC2のやり取りには、検出回避のためにGoogleクラウドサービスの正規APIが使われ、URLセーフなBase64エンコードも使用されていた。

GRIDTIDEは実行されると、ハードコードされた秘密鍵を使用してGoogleサービスアカウントへの認証を行う。アカウントのAPI認証を介してスプレッドシートに接続し、保存されている以前のコマンドやデータファイルを初期化するために、A1:Z1000セルの範囲を削除する。次にホストの偵察を行い、ユーザー名・ホスト名・OSの詳細・ローカルIP・ロケール・タイムゾーンなどを収集し、スプレッドシートのV1セルにデータを記録。A1セルはGRIDTIDEのコマンドやステータスが入力されるセルであり、継続的にポーリングしてコマンドを受信する。このセルにコマンドが存在する場合、GRIDETIDEはステータスを示す文字列で上書きをする。空欄の場合は1秒間隔で120回まで再試行し、その後はトラフィックノイズを減らすために5〜10分間隔でランダムにセルのチェックを行う。

使用されるコマンドは以下の通り。

C：Base64でエンコードされたbashコマンドを実行し、出力内容をシートに入力
U：A2:A<arg_2>セルのデータを取得し、エンコードされたファイルパス<arg_1>にファイルを再構築／入力
D：エンドポイント上のローカルファイル<arg_1>を読み取り、その内容を約45KBのフラグメントでA2:Anセルに送信。これらのセルはコマンド出力や抽出されたファイルおよびアップロードツールの入力に使用される

少なくとも1件の事例において、GRIDTIDEが機密性の高い個人識別情報（PII）を含むシステムに侵入したことが明らかになった。ただし、Googleの観測範囲内ではデータが実際に窃取された様子は確認されていないという。

Googleは、UNC2814に関連するGoogle Cloudプロジェクトをすべて停止することで、悪用されていたインフラを無効化し、さらにドメインをシンクホール化したとのこと。また、GRIDTIDEの影響を受けた組織には直接通知を行い、バックドアを除去するためのサポートを提供している。検出ルールと侵害の兆候（IoC）の一覧も公開されている。