サイバーニュース.jp

世界のサイバーなニュースを配信

China-Linked Amaranth-Dragon Exploits WinRAR Flaw in Espionage Campaigns

カテゴリ:

“`json
{
“title”: “中国関連のサイバー攻撃グループが活動強化:WinRAR脆弱性と信頼悪用で東南アジアを標的”,
“content”: “

はじめに

2025年を通じて、中国に関連するサイバー攻撃グループが東南アジアの政府機関および法執行機関を標的としたサイバー諜報活動を活発化させていることが、複数のセキュリティ企業によって報告されました。Check Point Researchは、新たに「Amaranth-Dragon」と名付けられたグループがWinRARの脆弱性を悪用していることを指摘し、Dream Research Labsは「Mustang Panda」が外交関連機関を狙ったキャンペーン「PlugX Diplomacy」を展開していると発表しました。これらの活動は、高度な技術と巧妙なソーシャルエンジニアリングを組み合わせた、組織的かつ継続的な脅威を示しています。

Amaranth-Dragonの活動:WinRAR脆弱性を悪用

Check Point Researchが追跡しているAmaranth-Dragonは、APT41エコシステムとの関連が指摘される中国関連の脅威アクターです。このグループは、カンボジア、タイ、ラオス、インドネシア、シンガポール、フィリピンなど、東南アジア諸国の政府および法執行機関を標的にしています。彼らのキャンペーンは、各国の政治的動向や地域安全保障イベントに合わせて巧妙に仕掛けられており、ターゲットの警戒心を低下させることを狙っています。

特筆すべきは、Amaranth-Dragonが高いステルス性を持ち、攻撃インフラが特定の標的国からのアクセスのみを許可するよう設定されている点です。これにより、露出を最小限に抑えつつ、長期的な永続性を確立しようとしています。

彼らの攻撃チェーンでは、WinRARの脆弱性「CVE-2025-8088」が悪用されています。これは、特別に細工されたアーカイブファイルを開くことで任意のコード実行を可能にするもので、脆弱性公開からわずか8日後には悪用が確認され、グループの技術的な成熟度と迅速な対応能力が浮き彫りになりました。

  • 初期侵入ベクトル:具体的な方法は不明ですが、標的型スピアフィッシングメールを通じて、Dropboxなどの主要なクラウドプラットフォームにホストされた悪意のあるRARファイルが配布されたと推測されています。
  • ペイロード:
    • 悪意のあるDLL「Amaranth Loader」をDLLサイドローディングで実行します。これは、過去にAPT41が使用したDodgeBox、DUSTPAN (StealthVector)、DUSTTRAPといったツールと類似性があります。
    • 最終的なペイロードとして、オープンソースのC2フレームワーク「Havoc」が展開されます。
    • 一部のキャンペーンでは、TelegramボットをC2として利用するRAT「TGAmaranth RAT」も使用されました。このRATは、スクリーンショットの取得、シェルコマンドの実行、ファイルのダウンロード・アップロードといった機能を持っています。

Amaranth-DragonとAPT41の関連性は、マルウェアのツールセットの重複、悪意のあるコードを実行するためにエクスポート関数内に新しいスレッドを作成するといった開発スタイル、UTC+8タイムゾーンでの活動など、複数の技術的・運用的側面から強く示唆されています。

Mustang Pandaの活動:信頼を悪用したPlugXの展開

もう一つの中国関連グループであるMustang Pandaは、2025年12月から2026年1月中旬にかけて、外交官や選挙関係者、国際機関の調整担当者を標的とした「PlugX Diplomacy」キャンペーンを展開しました。このグループは、ソフトウェアの脆弱性を直接悪用するのではなく、「なりすましと信頼」を利用する点が特徴です。

攻撃者は、米国関連の外交概要や政策文書に見せかけたファイルを悪用し、ターゲットにこれらを開かせます。ファイルを開くだけでマルウェア感染がトリガーされる仕組みです。

  • ペイロード:長年にわたり使用されているマルウェア「PlugX」のカスタムバリアント「DOPLUGS」を配布します。このマルウェアは、機密データの窃取や侵害されたホストへの永続的なアクセスを可能にします。
  • 攻撃チェーン:
    • 公式会議や選挙、国際フォーラムに関連する悪意のあるZIPファイルが添付されます。
    • ZIPファイル内のLNKファイルを実行すると、PowerShellコマンドが起動し、TARアーカイブが展開されます。
    • TARアーカイブには以下の3つのファイルが含まれています:
      • DLLサイドローディングに利用される、AOMEI Backupperの正規署名付き実行ファイル「RemoveBackupper.exe」
      • 暗号化されたPlugXペイロード「backupper.dat」
      • 悪意のあるDLL「comn.dll」
    • 正規の実行ファイルが実行されると、デコイのPDF文書が表示され、ユーザーは異変に気づかない間にバックグラウンドでDOPLUGSがインストールされます。

Dream Research Labsは、実際の外交イベントと攻撃キャンペーンのタイミングに相関性があることを指摘しており、今後も同様のキャンペーンが継続すると警告しています。外交、政府、政策関連分野の組織は、悪意のあるLNKファイルや正規実行ファイルを利用したDLLサイドローディングが、永続的な高優先度の脅威であることを認識すべきです。

まとめ

今回明らかになった中国関連のサイバー攻撃グループによる活動は、高度な技術力、時事性を取り入れた巧妙なソーシャルエンジニアリング、そして既存のセキュリティ対策を回避するための多様な手法が特徴です。WinRARのゼロデイ脆弱性の迅速な悪用、正規クラウドサービスやDLLサイドローディングの利用、そしてターゲットの信頼を悪用した攻撃は、現代のサイバー脅威が持つ複雑性と危険性を示しています。

企業や政府機関は、これらの進化する脅威に対応するため、最新の脆弱性情報への迅速な対応、従業員へのセキュリティ教育、そして多層的な防御戦略の導入が不可欠です。

“,
“status”: “publish”
}
“`

元記事: https://thehackernews.com/2026/02/china-linked-amaranth-dragon-exploits.html

投稿をさらに読み込む