はじめに
中国のサイバー諜報グループは、国際的な政策立案に関わる米国組織を標的とする上で、その決意と技術力を再び示しました。これは、国家が関与するサイバーアクターがもたらす、執拗かつ進化する脅威を浮き彫りにしています。
初期の侵入詳細
証拠によると、攻撃者は標的のネットワーク内にステルスで永続的な存在を確立しようとしました。最初の侵害は、2025年4月5日の大規模なスキャンに先行しており、Atlassian OGNL Injection (CVE-2022-26134)、Log4j (CVE-2021-44228)、Apache Struts (CVE-2017-9805)、GoAhead RCE (CVE-2017-17562) などの脆弱性に対するエクスプロイトが使用されました。
2025年4月に著名な米国政策提言非営利団体に対して観測された最新の侵入は、Kelp、Space Pirates、悪名高いAPT41などの中国ハッキンググループ間の高度な技術と共有ツールを浮き彫りにしています。彼らの活動は4月16日に再開され、インターネット接続と内部ネットワークへの到達性をテストする不審なコマンドが急増し、特に192.0.0.88のシステムに焦点を当てていました。
複数のプロトコルと接続方法が使用され、技術的な適応性と特定の内部リソースへのアクセスに対する決意の両方を反映していました。接続テストのほぼ直後、脅威アクターはネットワーク偵察のためにnetstatなどのツールを利用し、Windowsコマンドラインツールschtasksを使用して定期的なスケジュールタスクを作成しました。このタスクは、正当なMSBuild.exeアプリケーションを実行し、それがoutbound.xmlファイルを処理してcsc.exeにコードを注入し、最終的にコマンド&コントロールサーバーに接続しました。これらの手順は、自動化(スケジュールタスクを介して)と永続性に対する明確な意図の両方を示しており、システムレベルの特権の使用は、潜在的な損害と侵害の複雑さを増幅させました。
スパイ活動の戦術と共有ツール
使用されたツールキットと技術は、いくつかの中国の諜報グループの特徴を示していました。攻撃者は、vetysafe.exe(Sunbelt Software, Inc.によって署名されたVipreAVコンポーネント)を悪用して、悪意のあるペイロードであるsbamres.dllをロードすることにより、DLLサイドローディングとして知られる手法で正当なソフトウェアコンポーネントを武器化しました。
この正確な技術は、以前にSpace PiratesとEarth Longzhi(後者は既知のAPT41サブグループ)に起因するキャンペーンで記録されていました。特に、Kelp(別名Salt TyphoonまたはEarth Estries)に関連するインシデントでも同じアプローチが見られ、中国のAPTグループ間での広範なツール共有の慣行を示しています。東アジアのスクリプト入力用の正当なMicrosoftユーティリティであるImjpuexcの存在は、中国に拠点を置く、または中国と提携するアクターへの帰属をさらに裏付けています。
攻撃者はまた、ドメインコントローラーを偽装して資格情報を吸い上げるように設計されたツールであるDcsyncの可能性のあるバージョンを展開しました。これは、特権昇格とネットワーク全体のラテラルムーブメントを可能にする可能性があります。
歴史的背景と地政学的影響
APT41は、アジア太平洋地域と西側の高価値組織を執拗に標的とすることで知られる複数のサブグループを擁する、中国で最も長く活動している諜報グループの1つとして際立っています。Kelpは、2024年の米国大統領選挙期間中の米国通信ネットワークへの大規模な侵入で悪名を馳せ、Space Piratesは少なくとも2017年から活動しており、型破りな攻撃ベクトルとロシア企業への集中で注目されています。
このキャンペーンは、より大きな傾向を反映しています。中国の国家が関与するアクターは、中国に対する政策形成に関与する外国のエンティティを常習的に監視し、潜入しています。長期的なネットワークアクセスを確立する努力は、諜報活動、情報収集、戦略的影響という長年の目標を強化します。
複数の有名なグループ間で標準的なツールと技術が継続的に使用されていることは、高度な運用協力とリソース共有を示しており、これにより彼らは従来のセキュリティ対策を回避し、標的内で永続的な存在を維持することができます。米国と中国の地政学的対立が深まるにつれて、これらの侵入は、サイバー諜報活動が国際政策に影響を与え、戦略的情報を収集するための中心的な手段となっていることを痛烈に思い出させます。
ステルス性、技術的洗練、共有された専門知識の組み合わせを通じて、中国の脅威グループは、世界の外交と安全保障を定義する議論そのものを形成しようとする手ごわい敵であり続けています。