中国スパイUNC5221、被害者のMicrosoft 365ネットワークに18か月間潜伏

中国スパイUNC5221、被害者のMicrosoft 365ネットワークに18か月間潜伏

IBTimes – June 6, 2026

中国関連のサイバースパイグループUNC5221が、BRICKSTORMマルウェアや新たなマルウェアPlenetおよびAgentPSDを使用して、被害組織のネットワークへのアクセスを長期間にわたって維持していたという。サイバーセキュリティ企業Volexityが、2025年9月に実施した同インシデントへの対応について共有した。

UNC5221はVerdantBambooやWARP PANDAといった呼称でも知られる脅威アクターで、遅くとも2023年以降、Ivanti製品などのゼロデイ脆弱性を悪用したサイバースパイ攻撃に関与してきたとみられている。

Ivantiは当初、顧客組織のネットワークにおけるEgnyte Storage Syncシステムから不審なトラフィックが観測されたことから、インシデント対応を開始。調査の結果、UNC5221がこのシステムを侵害していたこと、また被害組織のWeb SSL VPNを通じて定期的に同システムへアクセスしていたことが明らかになったという。

同アクターはEgnyte Storage Syncシステムを足場にし、BRICKSTORMマルウェアや盗難認証情報などを使って被害組織のMicrosoft 365へ不正にアクセスしたとみられている。Volexityによれば、その潜伏期間は少なくとも18か月間に及んでいたとされる。この侵害においては、BRICKSTORMに加えて、Pythonで記述され、PyInstallerでパッケージ化された基本的なリバースシェルの「AgentPSD」が展開されていた。AgentPSDは、ほかのマルウェアがアクセス不能になった時用の予備的な永続メカニズムだったものとみられている。

Volexityは攻撃に対する緩和プロセスを完了させたものの、数日後にUNC5221は再び同一組織を侵害。この2度目の侵入においては、盗んだ認証情報を使用して被害組織のファイアウォール上でSSL VPNアクセスを有効化・設定変更した後、内部システムに接続し、Synology NASデバイスに追加のカスタムマルウェアPlenetを展開したとされる。

Volexityはこの2回目の攻撃を受けて被害組織の委託先であるMSP（マネージドサービスプロバイダ）での調査を開始。同MSP環境においても、UNC5221がpfSenseファイアウォール上にBRICKSTORMマルウェアのBSD版を展開していたことを発見したという。Volexityは、このファイアウォールに関しても少なくとも検出の18か月前から侵害されていたと結論づけているほか、UNC5221はMSPから被害組織の環境へと移動したのだろうと中程度の確度で評価している。

2回目の攻撃で展開されたPlenetは、.NETベースのクロスプラットフォームバックドア。Googleには「Grimbolt」と呼ばれているこのバックドアは、インタラクティブシェルへのアクセスやリモートコマンド実行、ファイル操作、C2サーバーの切り替えといった機能を持つ。

Volexityは調査の過程でUNC5221関連のインフラを見つけようと、BRICKSTORMがC2通信に用いていたIPアドレスおよびドメインのフィンガープリントを作成。数台のマシンを特定することに成功したものの、同アクターはその後インフラをオフラインにしたため、それ以上のシステムを暴き出すことはできなかったという。

Volexityは、UNC5221を「非常に熟練した脅威アクター」であると評価。LotL（living-off-the-land／環境寄生）の手法とマルウェアを組み合わせ、EDRソリューションをサポートしていないシステムを標的にしていると指摘した。同社はブログ記事にさらに詳しい解説を掲載しているほか、GitHubページでIoCも共有している。