概要
グーグルの脅威インテリジェンスグループ(GTIG)は、中国、イラン、北朝鮮、ロシアから派生する国家後援のアクターが国防産業基盤(DIB)セクターを標的にしていると報告しました。
脅威の焦点
GTIGは、これらの攻撃が以下の4つの主要なテーマを中心に展開していると指摘しています:
- 戦場で使用される技術をデプロイする国防機関への攻撃
- 北朝鮮やイランのアクターによる雇用プロセスの悪用
- 中国系グループによるエッジデバイスとアプライアンスを経由した初期アクセス
- 製造業界におけるサプライチェーンリスク
具体的な脅威アクター
GTIGは、APT44(Sandworm)、TEMP.Vermin(UAC-0020)、UNC5125(FlyingYeti/UAC-0149)、UNC5792(UAC-0195)などの具体的な脅威アクターがこれらの攻撃に関与していると報告しています。
APT44 (Sandworm)
TelegramやSignalの暗号化メッセージアプリから情報を不正に取得しようとしています。これは、ウクライナでの地上作戦中に得た物理的なアクセスを活用したものです。
TEMP.Vermin (UAC-0020)
VERMONSTERやSPECTRUMなどのマルウェアを使用し、ドローンの生産と開発、反ドローン防衛システム、ビデオ監視セキュリティシステムを題材とした誘導コンテンツを利用しています。
UNC5125 (FlyingYeti/UAC-0149)
Google Formsで調査を行い、ドローン操縦者に対してメッセージアプリを通じてマルウェア(MESSYFORK/COOKBOX)を配布しています。
UNC5792 (UAC-0195)
ウクライナの軍事AI企業を偽装したウェブサイトを通じて、Android用のGREYBATTLE(Hydraバンキングトロイアのカスタム版)を使用して資格情報とデータを盗み出しています。
UNC6446 (イラン系)
航空宇宙業界向けの履歴書作成アプリやパーソナリティテストアプリを通じて、カスタムマルウェアを配布しています。
結論
「国防産業基盤は、地理的な足跡とサブセクターの専門性によってリスクが異なるものの、全体として継続的な多面的攻撃にさらされている」とGTIGは述べています。
元記事: https://thehackernews.com/2026/02/google-links-china-iran-russia-north.html