中国系ハッカーがアゼルバイジャンのエネルギー企業を攻撃　Microsoft Exchangeの脆弱性悪用

中国系ハッカーグループがアゼルバイジャンのエネルギー企業を攻撃　Microsoft Exchangeの脆弱性が悪用される

The Hacker News – May 13, 2026

ルーマニアのサイバーセキュリティ企業Bitdefenderの調査により、中国関連の攻撃者がアゼルバイジャンの石油・ガス会社（社名は非公開）を標的とした「複数回の侵入」に関与していたことがわかった。

2025年12月下旬から2026年2月下旬にかけて行われたこの攻撃は、FamousSparrow（別名UAT-9244）と呼ばれるハッカーグループが実行したものとして、中程度から高い確度で特定されている。同グループの戦術は、Earth EstriesおよびSalt Typhoonの名で追跡されているグループと一部重複しているようだ。

このキャンペーンでは、2種類のバックドアの展開を目的に、3回にわたって攻撃が仕掛けられた。そして注目すべき点は、何度となく対策が講じられたにもかかわらず、いずれの攻撃試行においても同一の脆弱なMicrosoft Exchange Serverのエントリーポイントを繰り返し悪用し、その都度バックドアを変更していたことだという。

使用されたバックドアの1つは、複数の中国系スパイグループが使うShadowPadの後継「Deed RAT」（別名Snappybee）。もう1つは2024年以降に南米の通信インフラを標的とした攻撃に使われ、最近発見された「TernDoor」とされている。具体的には2025年12月25日にDeed RAT、2026年1月下旬から2月上旬にかけてTernDoor、そして2026年2月下旬にはDeed RATの改変版の展開が試行されており、攻撃者はProxyNotShell（CVE-2022-41040、CVE-2022-41082）チェーンを悪用して初期アクセスを取得したとみられる。

アゼルバイジャンは昨今の世界事情を背景に、ヨーロッパなどのエネルギー安全保障においてこれまで以上に大きな役割を担うようになりつつある。FamousSparrowはこれまで、米国やアジア太平洋、中東、南アフリカの組織を標的にしてきたことが知られているものの、アゼルバイジャンが位置する南コーカサス地方に対する攻撃は報告されていなかった。Bitdefenderは今回の攻撃について、同国の影響力が高まった地域にもFamousSparrowの被害が広がる可能性を示唆していると指摘した。

イラン系ハッカーグループ、韓国大手電子機器メーカーなどを標的に

BleepingComputer – May 13, 2026

イラン系ハッカーグループとされる「Seedworm」（別名MuddyWater、Static Kitten）により、大規模なサイバースパイ活動が展開されているようだ。さまざまな業種・国の著名な企業や組織が狙われ、韓国の大手電子機器メーカー、政府機関、中東の国際空港、アジアの製造企業、教育機関などに被害が及んでいるという。

シマンテックの脅威ハンティングチームによると、攻撃者は「2026年2月に韓国の大手電子機器メーカーのネットワークに1週間侵入していた」とのこと。その目的は情報収集とされ、産業・知的財産の窃取、政府機関への諜報活動、そして下流の顧客や企業ネットワークへのアクセスを狙っていたとみられる。

韓国の電子機器メーカー（社名は非公開）に対する攻撃は、2月20〜27日に行われたと報告されている。第一段階ではホストとドメインの偵察が行われ、続いてWMIを介したアンチウイルス列挙、スクリーンショットの取得、追加のマルウェアのダウンロードを実行。認証情報の窃取は、偽のWindowsプロンプト、レジストリハイブ（SAM/SECURITY/SYSTEM）の窃盗、Kerberosチケット悪用ツールによって行われたそうだ。

また、データ抽出には公開ファイル共有サービスのsendit.shが利用されているが、これは有害な活動を隠蔽し、通常の通信に見せかけるためと考えられている。シマンテックは今回のキャンペーンにおいて、それまで中東と南アジアを主なターゲットとしていたSeedwormの地理的な標的範囲の拡大、作戦の成熟度、そして正規のツールやサービスの悪用が顕著であり、より静かな攻撃に移行していることが読み取れると述べた。