中国関連のサイバースパイAPT、AppleやYahooの偽サイト使い日本とアジア太平洋地域を標的に

佐々山 Tacos

2026.05.15

中国関連のサイバースパイAPT、AppleやYahooの偽サイト使い日本とアジア太平洋地域を標的に

HackRead – May 14, 2026

日本およびアジア太平洋地域の組織を標的とした新たなサイバー攻撃群について、Darktraceが報告。2025年9月後半に始まったとされるこれらの攻撃は、中国関連のサイバースパイグループTwill Typhoon（Mustang Panda）が関与しているものとみられるという。

Darktraceは2025年9月後半以降、日本およびアジア太平洋地域における複数の顧客環境が、YahooやAppleなどの有名サイトの「CDN（コンテンツ配信ネットワーク）」エンドポイントになりすましたインフラ（yahoo-cdn.it[.]com、icloud-cdn[.]net）へのHTTP GETリクエストを行う様子を観測。いずれの環境においても、DLLサイドローディングによって.NETベースのモジュラー型リモートアクセス型トロイの木馬（RAT）フレームワーク（FDMTP更新版とみられる）が実行されるという、一貫した実行パターンが特定されたという。

＜観測された実行手順＞

①正規の実行ファイルを取得する
②実行ファイルとマッチする.configファイルを取得する
③悪意あるDLLを取得する
④DLLダウンロードを繰り返し行う
⑤C2と通信する

Darktraceは代表例として、「test.zip」と名付けられたZIPファイルが使用された例を紹介。このZIPファイルには、以下2件のファイルが含まれていたという。

正規の実行ファイル「biz_render.exe」（捜狗【Sogou】という中国企業が提供する、PCおよび携帯電話への中国語入力システム【IME】）
悪意あるDLL「browser_host.dll」

このサンプルでは、正規のバイナリ「biz_render.exe」が正規のDLL「browser_host.dll」をLoadLibraryExW経由でロードする間に、悪意あるDLLに正規DLLと同一のファイル名が付けられ、biz_render.exeへと悪意あるDLLがサイドロードされるようになっている。悪意あるDLLに同じ名前を付けることで攻撃者は実行フローをハイジャックし、信頼されたプロセス内でのペイロード実行を実現しているとDarktraceは説明した。

この正規のバイナリはまた、別のDLL「mscoree.dll」を動的にロード。このDLLは、Windows 共通言語ランタイム（CLR）を使用してプロセス内で.NETのマネージドコードを実行する。実行中、同ローダーはペイロードを.NETアセンブリとしてメモリに直接ロードし、メモリ内での実行を可能にするという。

その後、C2との通信が確立されると、YahooのCDNインフラになりすました「yahoo-cdn.it[.]com」から、複数のコンポーネントが取得される。

dfsvc.exe：正規のWindows ClickOnce Engine（正規のWindowsアップデートツール）。
dfsvc.exe.config：上記アプリの構成設定データを保管するファイルだが、マルウェアによりサーバーから取得されるファイルに置き換えられる。
vhost.exe：正規のVisual Studioホスティングプロセス。「Microsoft.VisualStudio.HostingProcess.Utilities.Sync.dll」および「config.etl」とともにサーバーから取得される。
dnscfg.dll：config.etlに含まれる暗号化されたペイロード。

コアペイロードであるdnscfg.dllは、「Client.TcpDmtp.dll」と名付けられた.NETバイナリ。Twill Typhoonによる使用が観測されているバックドア「FDMTP」のアップデート版であるとみられている。

このペイロードには複数の圧縮されたライブラリが埋め込まれており、その中のコアライブラリ「client.core.dll」が、システムのプロファイリングやC2通信、プラグイン実行に使用される。このインプラントにはアンチウイルス製品やドメイン名、ハードウェアの詳細、OSなどの情報を取得する機能が備わっているという。

また別のライブラリ「client.dmtpframe.dll」は、DMTP通信やハートビート・偵察活動、またプラグインの維持・管理を担うとされる。

Darktraceはすべてのプラグインを解明できたわけではないものの、以下4つを特定することに成功している。

Persist.WpTask.dll：スケジュールされたWindowsタスクをリモートで作成・削除・トリガーするのに使われる。
Persist.registry.dll：レジストリの永続性を管理するために使用される。
Persist.extra.dll：メインフレームワークのロードおよび永続性確保に使われる。
Assist.dll：ファイルやコマンドのリモート取得のほか、システムプロセスの改変に使われる。

Persist.extra.dllを通じて展開されるバイナリ「WindowsBase.dll」は、5分ごとに「icloud-cdn[.]net」にチェックインしてバージョン文字列を取得し、暗号化されたペイロード「checksum.bin」をダウンロード。「C:\ProgramData\USOShared\Logs\checksum.etl」として保存する。

checksum.etlはAESで復号されてメモリ内でロードされると、「Client.dll」と名付けられた別の.NET DLLをロード。このClient.dllは冒頭の「dnscfg.dll」と同一のDLLで、これを利用することにより攻撃者はバージョンに応じてメインのフレームワークを更新できるようになっているという。

このように、正規のWindowsツールを複数使用することで、攻撃者は検出されることなく密かに活動することが可能となっている。

Darktraceは、今回観測された活動がこれまでに報告されているTwill Typhoonの戦術と一致していると中程度の確度で評価。FDMTPバックドアやDLLサイドローディングが使用される点、また重複するインフラが使われている点は過去に観測された同アクターのオペレーションと一貫性があるとしつつ、単一のアクターだけに見受けられる特徴というわけではないと断りを入れた。

Twill Typhoonは、Mustang PandaやTA416、RedDelta、BRONZE PRESIDENT、STATELY TAURUS、 FIREANT、CAMARO DRAGON、EARTH PRETA、TANTALUM、UNC6384といった追跡名でも知られるグループ。遅くとも2012年から、サイバースパイなどの動機で活動してきた。

今回Darktraceは初期アクセスを直接観測できなかったとしているが、これまでのTwill Typhoonの攻撃キャンペーンにおいてはスピアフィッシングが使用されるのが一般的となっている。