概要:国産OSを狙う高度な脅威
高度な持続的脅威(APT)グループとして知られるOceanLotus(APT32)が、中国の「Xinchuang(信創)」イニシアチブを標的とした洗練されたサイバースパイ活動を展開していることが観測されました。Xinchuangイニシアチブは、中国が外国技術を国産のセキュアなITエコシステムに置き換えるための戦略的な取り組みです。従来のWindows中心の攻撃から戦略を転換し、OceanLotusは国産のLinuxベースOSと内部サプライチェーンを侵害するために特化したツールを展開しています。
高度化する攻撃手口:Linux環境への適応
2025年を通じて、セキュリティ研究者たちは、OceanLotusがXinchuangインフラのLinux環境向けに、従来のWindows攻撃手法を適応させた多数のスピアフィッシング攻撃を確認しています。主な攻撃手法は以下の通りです。
- デスクトップエントリーファイル(.desktop)の悪用: WindowsのLNKショートカットと同様に機能する「.desktop」ファイルが餌として使用されました。「2025年エネルギー産業シェールガス標準化技術委員会会議議事録の印刷配布に関する通知」のような正規文書を装い、実行時にファイルの「Exec」フィールドに記載されたbase64エンコードされたbashコマンドが、持続的なコマンド&コントロール(C2)通信を確立するスケジュールタスクを作成します。
- 既存環境の悪用: ほとんどの政府系ICT端末にプリインストールされているJavaおよびPython環境が悪用されています。2025年初頭には、「アジア太平洋自由貿易圏の経路紛争」といった誘引的なタイトルを持つJARファイルが配布されました。これらの実行可能ファイルは、被害者マシンを積極的にフィンガープリントし、Linux環境が検出された場合、ダウンローダー(例:report-scheduler-1.0-SNAPSHOT.jar)を展開し、持続性を確立します。
- ドキュメントビューアの脆弱性悪用: 2025年半ばには、OceanLotusはAtril Document Viewerの重大な脆弱性CVE-2023-52076(パス横断および任意ファイル書き込み)を武器化しました。Atrilは、Xinchuang準拠のOSで広く使用されているMATEデスクトップ環境のデフォルトビューアです。悪意のあるEPUBファイル(例:「安全事務所検査作業 – 最終版.epub」)を配布することで、攻撃者はこの脆弱性をトリガーし、永続化ファイル(desktop-service-7803.desktop)をシステムの自動起動ディレクトリに、暗号化されたペイロードを.configフォルダに書き込みました。このゼロクリックに近い実行により、標準的なユーザー防御を効果的に回避しています。
内部サプライチェーンへの侵入
最も警戒すべきは、OceanLotusが内部ネットワークのサプライチェーン攻撃へと軸足を移したことです。2024年にWindowsセキュリティ端末に対して見られた戦術を模倣し、OceanLotusは端末管理に使用される国産ソフトウェアを侵害することに成功しました。フィッシングを通じて初期アクセスを獲得した後、攻撃者はラテラルムーブメントを行い、内部セキュリティサーバーへのブルートフォース攻撃を試みました。ブルートフォースが失敗した後、グループは1ヶ月にわたる攻撃の末、ゼロデイエクスプロイトを悪用してサーバーを侵害した可能性が高いとされています。管理サーバーを掌握すると、彼らは悪意のあるアップデートスクリプトをダウンストリームのエンドポイントに配布し、組織自身の信頼されたインフラをマルウェアの配布メカニズムへと変貌させ、LinuxベースのXinchuang端末とレガシーWindowsシステムの両方を同時に侵害しました。
重要性:国産OSも無敵ではない
今回のキャンペーンは、OceanLotusの能力が決定的に進化していることを示しています。国産化されたOSも高度な持続的脅威に対して無敵ではないことを浮き彫りにしており、特に攻撃者がそれらのシステムを保護するために設計された特定のツールやサプライチェーンを武器化する場合には、その脆弱性が顕著になります。