-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
ロシアFSB、外国の諜報機関がロシア政府高官らのスマートフォンを「監視端末」に変えたと主張
The Register – Tue 02 Jun 2026
ロシアの国内諜報機関である連邦保安庁(FSB)が、外国の諜報機関によるサイバースパイキャンペーンを発見したと発表。この攻撃でロシアの政府高官らのスマートフォンが「サーベイランス(監視)デバイス」に変えられたとされるが、技術的な証拠は示されていない。
6月2日にFSBが公開した声明によれば、「外国の諜報機関」がロシア政府高官らのモバイル端末にマルウェアを展開。このマルウェアにより、攻撃者は標的端末からのデータの窃取や会話の傍受、マイクやカメラの起動といった操作を密かに実施できるようになっていたとされる。
FSBは、コンピューター情報への不法なアクセスおよび悪意あるソフトウェアの拡散に関する刑事捜査を開始していると述べたものの、スパイ攻撃の実施者とされる諜報機関の正体や、影響を受けた高官の人数、使用されたマルウェアなどの詳細は明かしていない。
ただ、現代のスパイ活動において、国家が後援するモバイル端末サーベイランスキャンペーンは日常茶飯事となっている上、ロシア政府は長年にわたって西側諜報機関による消費者テクノロジープラットフォームを悪用したスパイ活動を糾弾してきたことから、今回のFSBの発表内容も不自然なものには思えないとThe Register紙は指摘している。
なお、ロシアの諜報機関側も他国に対する攻撃的サイバースパイ活動を多々実施してきたとされる。例えば2025年には、米国の重要インフラ事業者と関連する多数のネットワークデバイスからFSBの活動部隊「センター16」が構成設定ファイルを抜き取ったと米FBIが主張していた。
パキスタン関連グループSideCopy、アフガニスタン財務省をXeno RATで標的に
The Hacker News – Jun 02, 2026
パキスタン関連グループ「SideCope」によるものとみられるスピアフィッシングキャンペーンについて、Seqrite Labsが報告。攻撃者は、オープンソースのリモートアクセス型トロイの木馬「Xeno RAT」を使ってアフガニスタン財務省を標的にしていたという。
SideCopyとは、APTグループ「Transparent Tribe(APT36)」の傘下で活動しているパキスタン関連の脅威グループに付けられた呼称。多様なマルウェアファミリーを使って機微なデータを盗み取ろうとすることで知られており、2025年4月には、インドの複数業界の組織をXeno RATやSpark RAT、CurlBack RATで攻撃するキャンペーンとの関与が指摘されていた。
「Operation XENOFISCAL」と名付けられた今回のキャンペーンは、ZIP添付ファイル付きのスピアフィッシングを送付するところからスタート。このZIPファイルには、パシュトー語のファイル名が付けられた悪意あるLNKファイルが含まれており、このファイルから感染チェーンが開始される仕組みになっていたとされる。パシュトー語はアフガニスタンの公用語の1つであり、同国政府関係者の間でメインで使用されていることから、この言語は「意図的に」選択されたものとSeqrite Labsは評価している。なお、このキャンペーンでは財務省以外にも、州の歳入・財務局やパシュトー語を話す政府高官、および州レベルの公務員も標的になっていたとされる。
LNKファイルは、実行されると「mshta.exe」を利用して、侵害済みのアフガニスタンドメインからリモートのHTML Application(HTA)ペイロードを取得。このペイロードはメモリ内で難読化されたJavaScriptをデコードし、Microsoft Edgeエントリに見せかけたRegistryベースの永続性を確立すると、最終的に囮用のドキュメントとXenoRAT 1.8.7を展開するという。
Xeno RATは、TCPを通じてリモートのサーバーに接続し、攻撃者から送られるコマンドを処理する役割を持つ。搭載された性能には、外部DLLモジュールのロードおよび実行、データのサーバーへの転送、スケジュールされたタスクを通じたマルウェアの起動、アンチウイルス情報の取得、SOCKS5プロキシベースのネットワークトンネリングへの対応、ファイル操作の実行、キーストロークの記録、スクリーンショットの取得、クリップボードの監視、Webカメラ/マイクの追跡などがある。また、永続性メソッドを削除したり、自らを感染ホストからアンインストールすることもできるという。
なお、パキスタンとアフガニスタンの衝突は2026年2月後半以降激化しており、現在も戦争状態にある。
