概要
Ravie Lakshmananによる記事によると、脅威活動クラスターであるUnsolicitedBookerは、中央アジアの通信会社を標的としている。この攻撃では、KyrgyzstanとTajikistanの企業に対して、LuciDoorおよびMarsSnakeというコードネームを持つ2つのバックドアが使用されている。
背景
ESETは2025年5月にUnsolicitedBookerを初めて文書化し、中国と関連のある脅威アクターとして特定した。このグループは少なくとも2023年3月以来活動しており、アジア、アフリカ、中東の組織を標的としている。
攻撃手法
- LuciDoor: C++で書かれたこのバックドアは、コマンド&コントロール(C2)サーバーと通信し、基本的なシステム情報を収集して暗号化された形式でデータをエクスフィラートする。
- MarsSnake: 同様に、攻撃者はこのバックドアを使用してシステムメタデータを収集し、任意のコマンドを実行したり、ディスク上のファイルを読み書きすることが可能。
最新の攻撃
Positive Technologiesによると、UnsolicitedBookerは2025年9月にKyrgyz組織に対してフィッシングメールを使用し、Microsoft Officeドキュメントを含む攻撃を行った。このドキュメントには、通信プロバイダーの料金プランが表示され、ユーザーが「コンテンツを有効にする」ボタンをクリックすると、マルウェアローダーであるLuciLoadがダウンロードされる。
中国との関連性
Positive Technologiesは、MarsSnakeが中国向けの攻撃で使用された兆候も見つけたと報告している。また、UnsolicitedBookerは2026年にLuciDoorに戻り始めた。
ESETによる評価
ESETのシニアマルウェアリサーチャーであるMatthieu Faou氏は、「過去数年間で、このグループがアルジェリア、ベルギー、エジプト、インド、モンゴル、サウジアラビア、台湾など、複数の国々の政府機関や通信プロバイダーを標的としている」と述べている。
その他の脅威
この記事は、新たな脅威アクターPseudoStickyが、プロ・ウクライナのハッキンググループであるSticky Werewolfの手口を模倣してロシアの組織を標的としていることも紹介している。
元記事: https://thehackernews.com/2026/02/unsolicitedbooker-targets-central-asian.html