はじめに
中国と関連する脅威アクターが関与するWarlockランサムウェア作戦は、Microsoft SharePointの重大な脆弱性を悪用したことで、サイバーセキュリティ上の大きな懸念として浮上しています。このグループの高度な攻撃インフラと、2019年まで遡る過去のスパイ活動の証拠は、サイバー犯罪と国家支援の作戦がますます収束する複雑な脅威の状況を明らかにしています。
Warlockランサムウェアの出現とゼロデイ脆弱性の悪用
Warlockランサムウェアは2025年6月に初めて確認されましたが、セキュリティ研究者がMicrosoft SharePointのToolShellゼロデイ脆弱性(CVE-2025-53770)を悪用して攻撃者が展開していることを発見した2025年7月に、その存在が広く知られるようになりました。この脆弱性は、Microsoftがパッチをリリースする前の2025年7月19日から、複数の中国を拠点とする脅威アクターによって積極的に悪用されていました。ロシアや独立国家共同体諸国に拠点を置く一般的なランサムウェア作戦とは異なり、Warlockは中国を起源としているようで、脅威の状況における注目すべき変化を示しています。
関与した中国の脅威グループ
ToolShellの脆弱性は、同時に3つの異なる中国関連の脅威グループの注目を集めました。Microsoftは、Budworm(Linen TyphoonまたはAPT27としても知られる)、Sheathminer(Violet TyphoonまたはAPT31)、およびStorm-2603がこのゼロデイ脆弱性を積極的に悪用していることを特定しました。これらのアクターの中でも、Storm-2603は、この脆弱性を悪用してWarlockとLockBitの両方のランサムウェアペイロードを展開したことで際立っています。
技術的な洗練と戦術
CheckPointが7月下旬に発表した詳細な調査によると、Storm-2603は複数のランサムウェアペイロードを使用し、攻撃中にそれらを頻繁にバンドルしていました。このグループは、中国の脅威アクターの間で好まれる戦術であるDLLサイドローディングを使用し、内部でak47c2と呼ばれるカスタムのコマンド&コントロールフレームワークを展開することで、技術的な洗練度を示しました。Palo Alto Networks Unit 42のセキュリティ研究者は、Storm-2603(CL-CRI-1040と指定)が使用するProject AK47ツールキットを特定しました。これには、バックドア、DLLサイドローディングローダー、およびAK47/Anylockランサムウェアペイロードが含まれています。このグループの運用上の手口には、正当な7zipアプリケーションを利用して悪意のある7z.dllローダーをサイドロードすることが含まれており、これは複数の攻撃キャンペーンで観察された手法です。
Warlockの進化と関連性
Trend Microの分析では、Warlockが古いAnylockランサムウェアのブランド変更である可能性が示唆されており、暗号化されたファイルに付加される.x2anylockファイル拡張子がその証拠となっています。さらに、Trendの研究者は、分析されたWarlockの亜種がLockBit 3.0の修正版であるように見え、脅威グループ間のコード共有または取得の可能性を示していることを観察しました。このセキュリティ企業はまた、同様の戦術、交渉スタイル、および被害者の選択パターンを通じて、引退したBlack Bastaランサムウェア作戦との関連性も特定しました。
スパイ活動との歴史的関連性
最も懸念されるのは、初期のスパイ活動に焦点を当てた活動との関連性です。SymantecとCarbon Blackの調査では、盗まれた「coolschool」(シリアル:4deb2644a5ad1488f98f6a8d6bca1fab)のデジタル証明書で署名された防御回避ツールが発見されました。この証明書は、少なくとも2022年以降、以前のCobalt Strikeの展開や脆弱性ドライバーの悪用に関連して使用されていました。TeamT5の研究者は以前、coolschoolの証明書を、2019年以降世界中でスパイ活動を行っている中国のAPTグループであるCamoFeiに関連付けていました。SentinelOneは、このグループをChamelGangと呼んでおり、米国、ブラジル、インド、ロシア、台湾、日本の重要インフラに対する攻撃を記録しており、ブラジル大統領府やインドの全インド医科大学に対する攻撃も含まれています。
ハイブリッドモデルの台頭
Warlock作戦は、スパイ活動とランサムウェア活動が絡み合う、中国を拠点とする新たなサイバー犯罪の結びつきを表しています。証拠は、アクターが国家支援のスパイ活動を支援する請負業者として活動しながら、同時に収益性の高いランサムウェアキャンペーンを実施している可能性を示唆しています。これは、帰属を複雑にし、サイバー犯罪活動がインテリジェンス収集活動を効果的に隠蔽または促進する方法を示すハイブリッドモデルです。