はじめに
長年にわたり活動し、国家支援が疑われるサイバースパイ組織であるConfuciusハッカーグループが、過去1年間で攻撃手法を大幅に進化させています。彼らはWooperStealerのようなドキュメント窃取型マルウェアから、より洗練されたPythonベースのバックドア、特にAnonDoorマルウェアへと移行しました。
攻撃手法の進化
2024年12月のキャンペーンでは、Confuciusグループは洗練されたソーシャルエンジニアリング戦術を披露しました。彼らは、被害者に「破損したページ」メッセージを表示する細工されたPowerPointプレゼンテーション(Document.ppsx)を含むフィッシングメールを利用しました。この悪意のある文書には、リモートインフラ(greenxeonsr.info)からVBScriptの実行をトリガーする埋め込みOLEオブジェクトが含まれており、複雑な感染チェーンを開始しました。
FortiGuard Labsの最近の分析によると、この南アジアの脅威アクターは、Office文書と悪意のあるLNKファイルを武器化し、特にパキスタンの組織を含む地域のWindowsシステムを侵害しています。攻撃手法には、マルウェアが正規のWindows実行ファイル(fixmapi.exeなど)をユーザーディレクトリにコピーし、Swom.exeとしてリネームして永続化を図るDLLサイドローディング技術が含まれます。グループは、HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\loadの下にレジストリベースの永続化を確立し、システム起動時の自動実行を可能にしています。
LNKファイルベースの攻撃への移行
2025年3月までに、Confuciusグループは「Invoice_Jan25.pdf.lnk」のような正規の文書を装った悪意のあるLNKファイルへと攻撃を転換しました。これらのファイルは、リモートサーバーから悪意のあるDLLとデコイPDF文書をダウンロードするPowerShellコマンドを実行し、正規のファイルアクセスを装いながらバックドアアクセスを確立します。ダウンロードされたMapistub.dllは、追加の永続化メカニズムを作成し、ペイロード配信のためにBase64エンコードされたリモートホストアドレスを準備します。分析により、最終的なペイロードはWooperStealerであり、.txtや.pdfから.pstや.eml形式に至るまで、文書、画像、アーカイブ、電子メールファイルを含む広範なファイルタイプを窃取するように設定されていることが明らかになりました。
AnonDoorマルウェアの登場
最も重要な進化は、2025年8月にAnonDoorが導入されたことです。これは、以前の.NETベースのツールからの顕著な脱却を示す洗練されたPythonベースのバックドアです。この新しいマルウェアは、Scoopパッケージマネージャーを通じてPythonをダウンロードおよび設定し、ユーザーディレクトリに隠し.pycファイルを作成することで実行環境を確立します。
AnonDoorは、複数の技術を介して被害者システムをフィンガープリントする高度な偵察機能を実装しています。これには、WMICハードウェアUUID抽出、api.ipify.orgやip-api.comなどのサービスを介したパブリックIPジオロケーション、およびすべてのドライブレターにわたる包括的なディスクスペース列挙が含まれます。
コマンド&コントロール操作
このバックドアは、スクリーンショットのキャプチャ、ファイルのリストとダウンロード、ディレクトリトラバーサル、FirefoxやEdgeなどのブラウザからの認証情報収集を含む広範なコマンド実行機能をサポートしています。AnonDoorは、特定のデリミタ($!!$および#$$)を使用した構造化データパケットを介してコマンド&コントロールインフラと通信し、検出の可能性を減らすために6分間隔の実行を維持することで運用セキュリティを確保しています。マルウェアのモジュール式アーキテクチャにより、リモートサーバーから追加のPythonモジュールを動的にロードすることが可能であり、オペレーターは特定のインテリジェンス要件に基づいて機能を拡張できます。
標的と防御
地理的標的は、Confuciusグループの歴史的な運用パターンと一致して、南アジア地域、特にパキスタンに焦点を当てています。FortiGuard Labsは、LNK/Agentバリアント、MSOffice/Agentサンプル、Python/Agent分類を含む、この脅威キャンペーンに対する包括的な検出機能を実装しています。
Confuciusグループの戦術的進化は、国家と連携した脅威アクターの継続的な適応性を示しており、地域の政府および防衛組織を標的とする洗練されたスパイ活動から防御するために、多層的なセキュリティアプローチと継続的な脅威インテリジェンス監視の重要性を強調しています。