TA415、米中経済協議中にスピアフィッシングメールを活用してWhirlCoilローダーを展開

ウィークリー・サイバーラウンド・アップ

TA415、米中経済協議中にスピアフィッシングメールを活用してWhirlCoilローダーを展開

Proofpoint – September 16, 2025

Proofpointの研究者の観測によると、高度持続脅威（APT）グループTA415（APT41、Brass Typhoon、Wicked Panda）が2025年7月から8月にかけて複数のフィッシングキャンペーンを展開し、米国の政府組織・シンクタンク・教育機関を標的にWhirlCoilローダーを配信していた。TA415は現職の米国の下院中国特別委員会委員長や米中経済協議会会長の名をかたり、両国の経済に関連したルアーを仕込んだEメールを送信している。フィッシングメールは通常、パブリッククラウド共有サービス（Zoho WorkDrive、 Dropbox、OpenDrive）でパスワード保護されたアーカイブのリンクを含んでおり、Cloudflare WARP VPNサービスを使用して送信されていた。また、アーカイブにはLNKファイルが含まれ、隠しサブフォルダ内のバッチスクリプトを実行し、OneDrive上では破損したPDFファイルを偽造文書として表示する。このバッチスクリプトは、LNKファイルと同じフォルダに埋め込まれたPythonパッケージにバンドルされているpythonw.exeを介してWhirlCoil Pythonローダーを実行。スケジュールされたタスクを作成して永続性を獲得し、WhirlCoil Pythonスクリプトを2時間に1度実行する。感染チェーンの初期の試行では、WhirlCoilをペーストサイト（Pastebinなど）から、Pythonパッケージを公式サイトからそれぞれダウンロードする。

SEOポイズニングキャンペーンで複数のマルウェアを配信、中国語話者のユーザーが標的に

Fortinet – September 12, 2025

Fortinetの研究者は2025年8月、中国語を話すユーザーを狙い、偽ソフトウェアサイトからマルウェアをダウンロードさせる検索エンジン最適化（SEO）ポイズニング攻撃を観測した。GoogleでDeepL翻訳・Google Chrome・Signal・Telegram・WhatsApp・WPS Officeをといったツールを検索すると偽装サイトが表示され、リダイレクト先でトロイの木馬化したインストーラーを使ったマルウェアが配信される。このようなサイトは複数のマルウェアを配信しており、代表的なものとしてはHiddengh0stやWinosの亜種などが挙げられる。攻撃は多段階感染チェーンに沿って実行され、JSONデータをダウンロードするJavaScriptを発端とする。このJSONデータには2段階目で必要なリンクが含まれ、そのリンクが有害なインストーラーの最終URLにリダイレクトするリンクを含む別のJSONレスポンスを参照する。インストーラーに含まれているDLLはサイドロードされており、C2通信の確立や、システムデータと被害者データの収集を行うだけでなく、被害者環境を継続的に評価して永続性を確認したり、さまざまなアンチ解析をチェックしたりするためにも使用される。永続性はTypeLib COMハイジャックとWindows実行ファイルの作成によって実現している。

APT28、オペレーション「Phantom Net Voxel」 でCovenantフレームワークの展開にPNGファイルを利用

Sekoia – September 16, 2025

サイバーセキュリティ企業Sekoiaの研究者チームは、APTグループAPT28が実行しているオペレーション「Phantom Net Voxel」を観測した。このオペレーションは、BeardShellバックドアとCovenantフレームワークを実行することを目的としている。感染チェーンはVisual Basicマクロを含むOffice文書がSignalのプライベートチャットで送信されることから始まり、最終的にBeardShellとSlimAgentを展開。このマクロがシステムにDLLファイルとPNGファイルをドロップし、そのPNGファイルにはPEファイルを読み込むためのシェルコードがステガノグラフィーの手法で埋め込まれている。さらにPEファイルは、CovenantのHTTP Grunt Stagerモジュールであることが判明した。CovenantとそのC2Bridge機能は、クラウドインフラKoofrのAPIとの通信、情報収集を目的としたファイルのアップロード、追加ペイロードのダウンロードなどに利用される。また、Office文書に関連する2件の異なるアカウントが発見され、115件以上のファイルと一意性のあるGUIDが断片的ではあるものの42件検出されたことから、複数の標的システムがすでに侵害されホストとなっている可能性が示唆された。2025年8月には武器化されたExcel文書を使い、同じ感染チェーンがパブリッククラウド環境で再利用されたこともわかっており、APT28が感染チェーンの再利用・改変を狙っていることが確認されている。

ステガノグラフィー活用したオペレーション「SlopAds」が3,800万超のペイロードを拡散

HUMAN – September 16, 2025

HUMANのセキュリティ研究チームにより、「SlopAds」と名付けられた不正広告・クリック詐欺オペレーションが明らかになった。同オペレーションでは攻撃者が224超のアプリを運営しており、これらは延べ228の国と地域でGoogle Playストアから計3,800万回以上ダウンロードされていた。各アプリはペイロードの配信にステガノグラフィーの手法を活用し、隠しWebViewで攻撃者所有のキャッシュアウトサイトへ誘導して広告インプレッションやクリックを不正に生成している。使用されたインフラと多くのアプリには、人工知能（AI）をテーマにしているという共通点が認められた。これらのアプリは複数のコマンド＆コントロール（C2）サーバーと専用のプロモーションドメインによって管理され、C2ネットワークの広範さがこのオペレーションを拡大しようとする攻撃者の意図を示唆している。C2サーバーは最終的に4件のPNGファイルを配信し、ここにデジタルステガノグラフィーを用いて暗号化されたAPKファイルを隠蔽。このAPKファイルを復号・再構築すると、不正広告モジュール「FatModule」が構成される。このキャンペーンでは検出回避のために独自のアトリビューション分析・効果計測ツールを使っており、同キャンペーンが使用したした広告を介してアプリがダウンロードされた場合にのみ下流の不正広告・クリック攻撃に利用された。Googleは現在までに特定されたアプリをPlayストアからすべて削除している。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。

翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス（情報）収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 :  Weekly Cyber Round-up

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界

【無料配布中！】地政学情勢×サイバー動向の解説レポート

レポート『デジタル時代における世界の紛争 – 地政学情勢はサイバー作戦へどう影響を及ぼしているのか』

以下のバナーより、国際紛争や政治動向といった地政学的情勢がサイバー空間に与える影響について解説したSilobreaker社のレポート『デジタル時代における世界の紛争』の日本語訳バージョンを無料でダウンロードいただけます。

＜レポートの主なトピック＞

本レポートでは、ロシア・ウクライナ戦争やイスラエル・ハマス戦争などの紛争や各国での選挙といった地政学的イベントについて振り返りつつ、それに伴うサイバー攻撃やハクティビズム、偽情報キャンペーンなどのサイバー空間での動きを解説します。また、中国・ロシア・北朝鮮・イランの各国について、関連するハクティビストグループやAPTグループの攻撃事例・特徴などを紹介しながら、サイバーインテリジェンスにおける領域横断的なアプローチの必要性について考えていきます。

目次

• 序論
• ハクティビズム
  • ハクティビズムの変遷
  • 戦争におけるハクティビズム
  • 「選挙イヤー」におけるハクティビズム
  • 絡み合う動機
  • 国家の支援を受けたハッカー集団
• 偽情報
  • 国家間対立
  • 偽情報とロシア・ウクライナ戦争
  • 偽情報とイスラエル・ハマス戦争
  • 偽情報と選挙が世界にあふれた2024年
• 国家型APTの活動
  • 中国
  • ロシア
  • 北朝鮮
  • イラン
• マルチチャネルインテリジェンスの運用化における課題と関連リスク

【無料配布中！】ランサムウェアレポート＆インテリジェンス要件定義ガイド

ランサムウェアレポート：『2024 Ransomware? What Ransomware?』

以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。

＜レポートの主なトピック＞

• 主なプレーヤーと被害組織
• データリークと被害者による身代金支払い
• ハクティビストからランサムウェアアクターへ
• 暗号化せずにデータを盗むアクターが増加
• 初期アクセス獲得に脆弱性を悪用する事例が増加
• 公に報告された情報、および被害者による情報開示のタイムライン
• ランサムウェアのリークサイト – ダークウェブ上での犯行声明
• 被害者による情報開示で使われる表現
• ランサムウェアに対する法的措置が世界中で増加
• サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
• 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠

インテリジェンス要件定義に関するガイドブック：『要件主導型インテリジェンスプログラムの構築方法』

以下のバナーより、優先的インテリジェンス要件（PIR）を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。

＜ガイドブックの主なトピック＞

本ガイドブックでは、優先的インテリジェンス要件（PIR）の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。

• 脅威プロファイルの確立
• ステークホルダーの特定・分析
• ユースケースの確立
• 要件の定義と管理
• データの収集と処理
• 分析と生産
• 報告
• フィードバック
• 実効性の評価