Salt Typhoonの脅威の概要
Salt Typhoonは、今日の世界の重要インフラを標的とする最も執拗で洗練されたサイバー脅威の一つです。中華人民共和国の国家支援アクターと関連があるとされており、この高度な持続的脅威グループは、特に米国を中心に、通信事業者、エネルギーネットワーク、政府システムに対して一連の大きな影響を与えるキャンペーンを実行してきました。
少なくとも2019年から活動しており、Earth Estries、GhostEmperor、UNC2286としても追跡されているこのグループは、エッジデバイスの悪用、深い永続性の維持、80カ国以上での機密データの持ち出しにおいて高度な能力を示しています。公表されている報告の多くは米国を標的としていますが、Salt Typhoonの活動はヨーロッパ、中東、アフリカにも拡大し、通信、政府機関、テクノロジー企業を標的としています。
カスタムマルウェアの使用や、Ivanti、Fortinet、Ciscoなどのベンダー製品における高影響度の脆弱性の悪用は、情報収集と地政学的影響力を組み合わせた戦略的なキャンペーンの性質を浮き彫りにしています。ゼロデイエクスプロイト、難読化技術、ラテラルムーブメント戦略を駆使し、Salt Typhoonは検出を回避し、機密環境への長期的なアクセスを維持する驚くべき能力を示しています。このグループの活動により、合法的な傍受システムが露呈し、数百万人のユーザーのメタデータが侵害され、不可欠なサービスが中断され、世界中の情報機関や民間パートナーからの協調的な対応が促されています。
欧州の通信事業者への攻撃事例
Darktraceは最近、欧州の通信事業者でSalt Typhoonの既知の戦術、技術、手順(DLLサイドローディングやステルスおよび実行のための正規ソフトウェアの悪用を含む)と一致する活動を観測しました。この侵入は、2025年7月の第1週にCitrix NetScaler Gatewayアプライアンスの悪用から始まった可能性が高いとされています。
そこから、攻撃者はクライアントのMachine Creation Servicesサブネット内のCitrix Virtual Delivery Agent(VDA)ホストに侵入しました。侵入における初期アクセス活動は、SoftEther VPNサービスに関連する可能性のあるエンドポイントから発生しており、当初からインフラの難読化が示唆されています。Darktraceはその後、脅威アクターがSNAPPYBEE(Deed RATとしても知られる)と高い確信度で評価されるバックドアを複数のCitrix VDAホストに配信していることを観測しました。
このバックドアは、Norton Antivirus、Bkav Antivirus、IObit Malware Fighterなどの正規のアンチウイルスソフトウェアの実行可能ファイルとともにDLLとしてこれらの内部エンドポイントに配信されました。この活動パターンは、攻撃者が正規のアンチウイルスソフトウェアを介したDLLサイドローディングに依存してペイロードを実行したことを示しています。Salt Typhoonおよび同様のグループは、この技術を悪用し、信頼されたソフトウェアを装ってペイロードを実行し、従来のセキュリティ制御を回避する歴史があります。
脅威アクターによって配信されたバックドアは、コマンド&コントロールのためにLightNode VPSエンドポイントを利用し、HTTPと未識別のTCPベースプロトコルの両方で通信していました。このデュアルチャネル設定は、Salt Typhoonが検出を回避するために非標準および多層プロトコルを使用する既知のパターンと一致しています。
検出と対応の取り組み
バックドアによって表示されたHTTP通信には、Internet ExplorerのUser-Agentヘッダーと「/17ABE7F017ABE7F0」のようなターゲットURIパターンを含むPOSTリクエストが含まれていました。侵害されたエンドポイントが接触したC2ホストの1つは、最近Salt Typhoonに関連付けられたドメインであるaar.gandhibludtric[.]comでした。
Darktraceは、侵入の初期段階で高い確信度で検出を行い、初期のツールとC2活動の両方がDarktrace Cyber AI Analystの調査とDarktraceモデルによって強力にカバーされました。Cyber AI Analystは、侵入からの個別のイベントをより広範なインシデントにまとめ、攻撃者の進行状況を要約しました。
脅威アクターの洗練度にもかかわらず、侵入活動はこれらの攻撃の初期段階を超えてエスカレートする前に特定され、修復されました。Darktraceのタイムリーで高い確信度の検出が、脅威を無力化する上で重要な役割を果たした可能性が高いです。DarktraceのCyber AI Analystは、侵入の初期段階で生成されたモデルアラートを自律的に調査し、初期のツールとC2イベントを発見し、それらを攻撃者の進行状況を表す統一されたインシデントにまとめました。
戦術、技術、手順、ステージングパターン、インフラ、マルウェアの重複に基づき、Darktraceは観測された活動がSalt Typhoonと一致すると中程度の確信度で評価しています。組織が脅威モデルを再評価する中で、Salt Typhoonは国家支援型サイバー作戦の進化する性質と、シグネチャベースのアプローチだけでなく、行動異常検出に依存するプロアクティブな防御戦略の緊急の必要性を強く思い出させるものとなっています。