ShadowSilk：アジアの政府機関からデータ窃取を行う脅威アクター

nosa

2025.08.29

ウィークリー・サイバーラウンド・アップ

アジアの政府機関からデータ窃取を行うShadowSilk

Group-IB – August 27, 2025

Group-IB研究者は2024年秋、脅威アクターShodowSilkが中央アジアおよびアジア太平洋地域の政府機関を標的として一連の攻撃を指揮し、データ窃取を行っていたことを発見した。この活動は2023年から2025年7月現在に至るまで活発に行われており、直近のキャンペーンは2025年1月から7月にかけて発生した。ShadowSilkは複数の脆弱性（CVE-2018-7600、CVE-2018-7602、CVE-2024-27956など）だけでなく、MetasploitやCobalt Strike、Godzilla Webシェルといった侵入・制御ツール、そして感染したデバイスを管理するためのWebパネルなど、さまざまな種類のツールやエクスプロイトを活用する。初期アクセスの獲得にはフィッシングメールを使い、パスワード保護されたアーカイブを開いて実行ファイルを走らせるよう被害者を誘導。バイナリが起動されると、被害者のデバイスはTelegramをC2通信に転用するマルウェアに感染する。その後、攻撃者は有害なプログラムをさらにダウンロードして実行し、Windowsレジストリを改変して永続化を図る。ShadowSilkは「YoroTrooper」「Silent Lynx」という2組のサブグループで構成されており、ロシア語や中国語を話す開発者と工作員が参加している。

ZipLineキャンペーン、正当なビジネス上のやりとりを装いMixShellを展開

Check Point – August 26, 2025

Check Pointの研究者は「ZipLine」と呼ばれるソーシャルエンジニアリングキャンペーンを特定した。この攻撃は米国のサプライチェーンに大きな影響を及ぼす複数の製造企業を狙い、一見正当なビジネス上のやりとりを通じてカスタムマルウェアインプラント「MixShell」を展開する。脅威アクターは「お問い合わせ」フォームを悪用して企業とEメールでのやりとりを開始し、有害なZIPアーカイブを展開するまで数週間にわたってビジネスに関する連絡を続ける。このZIPアーカイブは信頼できるプラットフォームでホストされており、正規のPDFファイルとDOCXファイルが格納されているが、攻撃チェーンを開始する有害なLNKファイルも埋め込まれている。また、このZIPアーカイブのバイナリ内には、PowerShellスクリプトが直接埋め込まれていた。LNKファイルはこのPowerShellスクリプトをメモリ内で実行してから、TypeLibをハイジャックする手法によって永続性を確立する。MixShellはWindows API関数を動的に解析してそのアドレスをシェルコードのメインのランタイム構造に格納し、ホストごとに1つのインスタンスのみがアクティブになるようミューテックスを作成する。以前はMixShellの設定値が平文で保存されていたが、現在は16進エンコードとXOR暗号化を使用するようになっており、開発者がマルウェアを進化させていることがうかがえる。また、PowerShellベースの亜種も確認されており、こちらはスケジュールされたタスクを介して永続性を確立する。

UNC6384がWebトラフィックを乗っ取り、外交官にSOGU.SECバックドアを配布

Google – August 26, 2025

Googleの研究者は2025年3月、東南アジアの外交官や世界各地の複数組織を狙ったキャンペーンを発見した。このキャンペーンの目的は、中国の戦略的利益に連動したサイバースパイ活動を支援することだと考えられている。攻撃者は標的のWebトラフィックを乗っ取り、「STATICPLUGIN」と呼ばれるデジタル署名付きダウンローダーを配信。このダウンローダーが新しいサイドロードDLL「CANONSTAGER」をダウンロードすると、最終的にバックドア「SOGU.SEC」の亜種がメモリ内で展開される。このマルウェアはAdobeプラグインのアップデートを装って配布され、その際には中間者（AiTM）攻撃が利用されている。攻撃者はキャプティブポータルを使い、ユーザーを特定のWebサイトに誘導。ランディングページは空白のページに足りないプラグインのインストールを促す黄色のバーとボタンのみを表示するが、バックグラウンドではJavaScriptが密かに読み込まれて実行される。この攻撃は、中国系脅威アクターTEMP.Hexの関与が疑われるUNC6384によるものとされる。

Earth Lamia、ベトナムの教育施設をCobalt Strikeとトンネリングツールで攻撃

Ctrl-Alt-Int3l – August 20, 2025

ある中国系脅威アクターがベトナムの大学・教育施設で使用されている少なくとも25の環境に侵入し、Cobalt Strikeなどのツールで永続性を確立しつつ、情報を盗み出していたことをCtrl-Alt-Int3lの研究者チームが突き止めた。この脅威アクターは公開済みの脆弱性をMetasploitで悪用する手法に加え、Godzilla WebシェルのアップロードやSQLインジェクションによってアクセスを獲得。続いてCobalt Strikeビーコンを展開した後、Windowsのローカル脆弱性を悪用して権限昇格を行い、永続的なリモートアクセスを得るためにトンネリングソフトウェアをインストールしていた。使用されたトンネリングソフトには、C2フレームワークのVShellとCS 、永続的なリモートデスクトッププロトコル（RDP）トンネル、そして.NET Webシェルが含まれる。また、C2プロトコルと文字列の類似性により、VShellの展開と併せてLinuxベースのSNOWLIGHTマルウェアを使っていることも示唆された。活動の共通点と被害者情報に基づき、このキャンペーンはEarth Lamiaによるものとされている。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。

翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス（情報）収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 : Weekly Cyber Round-up

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界

【無料配布中！】地政学情勢×サイバー動向の解説レポート

レポート『デジタル時代における世界の紛争 – 地政学情勢はサイバー作戦へどう影響を及ぼしているのか』

以下のバナーより、国際紛争や政治動向といった地政学的情勢がサイバー空間に与える影響について解説したSilobreaker社のレポート『デジタル時代における世界の紛争』の日本語訳バージョンを無料でダウンロードいただけます。

＜レポートの主なトピック＞

本レポートでは、ロシア・ウクライナ戦争やイスラエル・ハマス戦争などの紛争や各国での選挙といった地政学的イベントについて振り返りつつ、それに伴うサイバー攻撃やハクティビズム、偽情報キャンペーンなどのサイバー空間での動きを解説します。また、中国・ロシア・北朝鮮・イランの各国について、関連するハクティビストグループやAPTグループの攻撃事例・特徴などを紹介しながら、サイバーインテリジェンスにおける領域横断的なアプローチの必要性について考えていきます。

序論
ハクティビズム
- ハクティビズムの変遷
- 戦争におけるハクティビズム
- 「選挙イヤー」におけるハクティビズム
- 絡み合う動機
- 国家の支援を受けたハッカー集団
偽情報
- 国家間対立
- 偽情報とロシア・ウクライナ戦争
- 偽情報とイスラエル・ハマス戦争
- 偽情報と選挙が世界にあふれた2024年
国家型APTの活動
- 中国
- ロシア
- 北朝鮮
- イラン
マルチチャネルインテリジェンスの運用化における課題と関連リスク