中国系ハッカー、アジアの軍事組織を長期にわたり偵察

yab

2026.03.17

中国系ハッカー、アジアの軍事組織を長期にわたり偵察

SecurityWeek – March 16, 2026

パロアルトネットワークスは、東南アジアの軍事組織が中国の国家支援型アクターとみられる攻撃者「CL-STA-1087」の標的となっていると報告した。この活動は遅くとも2020年から続いていると思われ、軍事力や組織構造、西側諸国の軍との協力に関する非常に具体的なファイルが積極的に検索・収集されていた。

初期アクセス経路は不明であるものの、CL-STA-1087は標的の環境を侵害してから数か月間休眠状態を維持し、好機を伺っていた模様。活動再開時には、管理されていないエンドポイントから環境内のサーバーにAppleChrisバックドアのペイロードを送信し、Windows Management Instrumentation（WMI）とネイティブのWindows .NETコマンドを利用して、ドメインコントローラー・Webサーバー・ITワークステーション・経営幹部向けシステムなどを侵害。また、永続性獲得とペイロード実行のためにサービスを作成し、悪意のあるDLLをsystem32フォルダに保存し、既存のシャドウコピーサービスによってロードされるように登録することで、 DLLハイジャックを実行した。その後、水平方向の移動を行い、議事録や作戦能力の評価、共同軍事活動の詳細といった機微性の高いファイルを収集した。活動ではAppleChrisに加えて、MemFunバックドアや複数のWindows認証パッケージを標的とするGetpass認証情報窃取ツールも展開されていたとみられる。

パロアルトネットワークスの分析によると、攻撃者は侵害した複数のネットワークとの通信を長期間維持し、C2サーバーへの配信にPastebinとDropboxを利用していた。また、攻撃者の活動時間は中国を含むアジアが採用するUTC+8に収まり、C2サーバーのログインページには簡体字中国語が使用されていたとのこと。