概要
最新の分析によると、中国のIPスペース内において、18,000を超えるアクティブなコマンド&コントロール(C2)サーバーが48の異なるホスティングプロバイダーを介して稼働していることが明らかになりました。これは、マルウェア、フィッシング、APT(高度な持続的脅威)ツールが共有インフラストラクチャに集中している現状を示しており、脅威ハンティングにおけるホスト中心のテレメトリーの重要性を浮き彫りにしています。
詳細な分析結果
Hunt.ioによる3ヶ月間の分析で、合計21,629件の悪意のあるアーティファクトが記録されました。その内訳は以下の通りです。
- C2サーバー:18,000台以上(全体の約84%)
- フィッシングサイト:2,837件(全体の約13%)
- 悪意のあるオープンディレクトリ:528件
- 公開されているIOC(侵害指標):134件
このデータは、中国のインフラが、単純な誘引やホスティング活動よりも、長期的なC2およびポストエクスプロイト運用に主として悪用されていることを示唆しています。
主要なホスティングプロバイダーとマルウェア
C2活動が特に集中しているのは、以下の主要プロバイダーです。
- China Unicom:約9,000〜9,100台のC2サーバー(観測されたC2活動のほぼ半分)
- Alibaba Cloud:約3,300台のC2サーバー
- Tencent:約3,300台のC2サーバー
これらの大規模クラウドプラットフォームが、脅威アクターによってスケーラブルで強靭なインフラとして体系的に悪用されていることが示されています。また、以下のマルウェアファミリーが、この悪用の大部分を占めています。
- Mozi:9,427のユニークなC2 IP(中国で特定されたC2エンドポイントの半分以上)
- ARL:2,878のC2
- Cobalt Strike、Vshell、Mirai:それぞれ数百のC2サーバー
この集中は、インフラレベルのフィンガープリントが反復可能であり、フレームワーク駆動型であることを示し、個々のIPが頻繁に変わっても防御側がクラスターを追跡できる可能性を示唆しています。
攻撃の多様性と国家支援の示唆
このインフラに関連する具体的なキャンペーンには、主要な中国および地域のプロバイダーにおけるCobalt Strikeビーコン、商用ネットワーク上のAsyncRATおよびVshell C2ノード、ルーターやOTを標的としたMirai型ボットネット活動が含まれます。CERNETやChina UnicomのChina169のような高信頼性の学術およびバックボーンネットワークも、ボットネットC2や大規模なブラウザ拡張機能の悪用に関連付けられています。
特筆すべきは、このインフラが国家支援型活動とも重複している点です。DarkSpectre、Silver Fox、Gold Eye DogといったAPT運用が、クリプトマイナーの展開、フィッシングフレームワーク、およびコモディティRATキャンペーンと並行して存在しています。このサイバー犯罪とスパイ活動の重複により、中国のホスティングエコシステムは、異なる脅威アクターが同じプロバイダーを静かに再利用する共有の拠点となり、帰属とテイクダウンの取り組みを複雑化させています。
脅威ハンティングへの影響
この広範な悪用は、インジケーターベースのアプローチが、攻撃者が同じネットワークを大規模に繰り返し使用する方法を捕捉できないことを示しています。そのため、脅威ハンティングにおいては、ホスト中心のテレメトリーが不可欠であると強調されています。