中国関連サイバースパイ、REDCapサーバー通じて北米の研究機関を標的に | Codebook|Security News
セキュリティニュース
サイバーインテリジェンス
特集
情報セキュリティ
Codebook|Security News > Articles > Threat Report > デイリーサイバーアラート > 中国関連サイバースパイ、REDCapサーバー通じて北米の研究機関を標的に

デイリーサイバーアラート

Silobreaker-CyberAlert

サードパーティ

サイバースパイ

中国関連サイバースパイ、REDCapサーバー通じて北米の研究機関を標的に

佐々山 Tacos

佐々山 Tacos

2026.06.16

中国関連サイバースパイ、REDCapサーバー通じて北米の研究機関を標的に

Help Net Security – June 15, 2026

北米の学術・医学・軍事研究部門の機関を標的とした高度なサイバースパイキャンペーンを、Googleの脅威インテリジェンスグループ(GTIG)が特定。中国関連の脅威アクターUNC6508によるものとされるこのスパイ攻撃では、永続アクセスの確保と機微な情報の収集のため、カスタムマルウェア「INFINITERED」が展開されていたという。

 

2023年9月に始まったとされるこのキャンペーンは、遅くとも2025年11月まで続いたとされる。攻撃はまず、標的機関のREDCapサーバーを侵害するところからスタート。REDCapは医学・科学研究に関する規制に準拠したWebベースのソフトウェアプラットフォームで、オンラインデータベースやアンケートの構築・管理などを目的に北米の医学研究コミュニティにおいて広く利用されている。

 

初期アクセスの手口は不明だが、UNC6508はREDCapサーバーの侵害に成功して足場を確立すると、内部の偵察および認証情報の探索を行ってデータベースやサービスアカウントの認証情報を獲得するとともに、「help.php」というWebシェルを展開したとされる。このWebシェルは、永続性の確保を担うほか、REDCapアプリケーションにおけるアップローダーとして機能していたとGTIGは説明している。

 

初期侵害から3か月後、UNC6508はカスタムマルウェア「INFINITERED」を展開、このマルウェアを構成する以下3つのモジュールコンポーネントにより、正規のREDCapシステムファイルがトロイの木馬化されたという。

  • ドロッパー:REDCapのソフトウェアアップグレードをモニタリングし、将来リリースされるバージョンに悪意あるコードを注入する。
  • 認証情報ハーベスター:REDCapのログインページに入力されるユーザー名とパスワードを捕捉し、後から取得できるようREDCapのセッションテーブルに保管する。
  • バックドア:HTTP Cookieを通じてコマンドを受信する。これにより、シェルコマンドに実行やファイルのアップロード・ダウンロード、任意のSQLクエリの実行、盗んだ認証情報の取得などが可能になる。

 

さらにそこから数か月後、初期侵入からは1年以上経った後、UNC6508は窃取した認証情報を使って管理者アカウントへアクセス。続いて「Patroit」と名付けられたコンテンツコンプライアンスルールを作成した。Patroitは、指定されたキーワードが登場しないかEメールをモニタリングし、合致するメッセージがあれば攻撃者が制御するGmailアカウントへ転送するというルールだったという。

 

Patroitにおいて使用されていたパターンからは、「地政学的政策、軍事戦略、先端技術、および医学研究分野を標的とした戦略的なインテリジェンス収集が行われていることがうかがえる」とGTIGは指摘。また、このパターンにはこれらの分野の組織に属するメンバーの業務用メールアドレスや電話番号も含まれていたと伝えた。GTIGはさらに、指定された用語のいくつかにはスペルミスが見受けられることから、用語リストが手動で管理されていたことが示唆されるともコメントしている。

 

Googleは、INFINITEREDに感染した米国およびカナダの組織を特定し、侵入行為について通知済み。同社によれば、UNC6508と結びつく悪意あるインフラは停止されているという。

 

GTIGのブログ記事では、関連するIoCやYARAルールも提供されている。

Arch Linux、AUR新規サインアップを休止 悪意あるコミットの波襲来で

The Register – Mon 15 Jun 2026

週末にかけてArch User Repositoryを悪意あるコミットの波が襲ったことを受け、Arch Linuxのチームは6月15日、新たなアカウントの登録を休止する措置を講じている。

 

AURにおける問題が最初に認識されたのは、6月12日。Arch Linuxは、「現在、Arch User Repository において、悪意のあるパッケージの採用や更新が急増しています」と投稿し、新規アカウントの開設やパッケージアップデートのプッシュ、また新規パッケージの作成などに問題が生じた可能性があると伝えていた。

 

当初侵害されたパッケージの数は400件ほどと考えられていたが、週末にかけてこの数は1,500件超にまで急増。6月14日に、第1波よりも巧妙さの増した悪意あるパッケージの数々が観測され、翌15日にはArch Linuxのチームが新規アカウント登録を休止することを発表した

 

AURは優秀なArchユーザーによるコミュニティが主導する貴重なパッケージリポジトリであるものの、そのオープンでコミュニティ主導のモデルは、攻撃者によって悪用される恐れがあることが今回のサプライチェーン侵害により改めて浮き彫りになっている。

関連記事

デイリーサイバーアラート

Linux

Silobreaker-CyberAlert

サプライチェーン

400超のArch Linuxパッケージがルートキットと情報窃取マルウェアを拡散

nosa

nosa

2026.06.15

Linux

Silobreaker-CyberAlert

サプライチェーン

関連資料をダウンロード

デジタル時代における世界の紛争

デジタル時代における世界の紛争

地政学的紛争とサイバー作戦の境界は曖昧さを増し、国家や非国家主体によるサイバー攻撃が日常的に行われる中、戦争や外交の在り方が複雑化しています。 特にハクティビズムや偽情報キャンペーンは、ロシア・ウク...

資料ダウンロード
【最新版】要件主導型インテリジェンスプログラムの構築方法|Silobreaker Report

【最新版】要件主導型インテリジェンスプログラムの構築方法|Silobreaker Report

本レポートは、サイバー脅威や地政学的リスクが高度化・複雑化する現代において、組織が適切な意思決定を行うために不可欠な「脅威インテリジェンス」の実践方法を解説するハンドブックです。特に、インテリジェンス...

資料ダウンロード
OSINTから読み解く国家支援サイバー脅威の攻撃トレンド

OSINTから読み解く国家支援サイバー脅威の攻撃トレンド

国家の支援を受けたサイバー脅威が進化を続けています。昨年の国内暗号資産取引所からのビットコイン流出に、北朝鮮アクターの巧妙なソーシャルエンジニアリングが利用されていたことは、記憶に新しいかと思います。...

資料ダウンロード

Special Feature特集記事

セミナー情報一覧へ ANALYST CHOICEの記事一覧へ

Cyber Intelligenceサイバーインテリジェンス

このカテゴリーの記事一覧へ
このカテゴリーの記事一覧へ

Security情報セキュリティ

このカテゴリーの記事一覧へ
このカテゴリーの記事一覧へ