概要:国際的なサイバースパイ活動「Shadow Campaigns」
国家支援型脅威グループが、世界規模のサイバースパイ活動「Shadow Campaigns」を展開し、37カ国の政府機関および重要インフラ企業の数十のネットワークを侵害しました。昨年11月から12月にかけて、このアクターは155カ国に関連する政府機関に対する偵察活動も実施しています。
Palo Alto NetworksのUnit 42部門によると、このグループは少なくとも2024年1月から活動しており、アジアを拠点としている可能性が高いとされています。確定的な帰属が判明するまで、研究者たちはこのアクターをTGR-STA-1030/UNC6619と呼称しています。
「Shadow Campaigns」の活動は、主に政府省庁、法執行機関、国境警備、金融、貿易、エネルギー、鉱業、移民、外交機関に焦点を当てています。
被害の実態と標的地域
Unit 42の研究者たちは、この攻撃が37カ国にある少なくとも70の政府機関および重要インフラ組織を侵害したことを確認しました。これには、南北アメリカの貿易政策、地政学問題、選挙に関わる組織、複数の欧州諸国の省庁や議会、オーストラリアの財務省、台湾の政府機関や重要インフラが含まれます。
標的となった国や侵害された組織のリストは広範囲にわたり、特定のイベントに動機づけられた特定の時期に、特定の地域に焦点が当てられています。研究者によると、2025年10月の米国政府機関閉鎖中には、脅威アクターは北米、中米、南米(ブラジル、カナダ、ドミニカ共和国、グアテマラ、ホンジュラス、ジャマイカ、メキシコ、パナマ、トリニダード・トバゴ)の組織へのスキャンに高い関心を示しました。また、ホンジュラスの国家選挙のわずか30日前に、「ホンジュラス政府インフラをホストする少なくとも200のIPアドレス」に対する大規模な偵察活動が発見されました。これは、両候補者が台湾との外交関係回復に意欲を示していた時期と重なります。
Unit 42は、この脅威グループが以下の組織を侵害したと評価しています。
- ブラジルの鉱業エネルギー省
- ボリビアの鉱業関連組織のネットワーク
- メキシコの2つの省庁
- パナマの政府インフラ
- ベネズエラ産業技術施設に地理的に位置するIPアドレス
- キプロス、チェコ、ドイツ、ギリシャ、イタリア、ポーランド、ポルトガル、セルビアの侵害された政府機関
- インドネシアの航空会社
- 複数のマレーシア政府部門および省庁
- モンゴルの法執行機関
- 台湾の電力設備産業の大手サプライヤー
- タイの政府部門(経済および国際貿易情報に関連する可能性が高い)
- コンゴ民主共和国、ジブチ、エチオピア、ナミビア、ニジェール、ナイジェリア、ザンビアの重要インフラ企業
また、Unit 42は、TGR-STA-1030/UNC6619がオーストラリアの財務省、アフガニスタンの財務省、ネパールの首相府および閣僚評議会に関連するインフラに対し、SSH経由での接続を試みたとも見ています。
これらの侵害とは別に、研究者たちは他の国の組織を標的とした偵察活動や侵害未遂の証拠を発見しました。彼らによると、このアクターはチェコ政府(陸軍、警察、議会、内務省、財務省、外務省、大統領ウェブサイト)に関連するインフラをスキャンしていました。また、この脅威グループは、*.europa.euドメインをホストする600以上のIPを標的とすることで、欧州連合のインフラへの接続も試みました。2025年7月には、ドイツに焦点を当て、政府システムをホストする490以上のIPアドレスへの接続を開始しました。
攻撃手法とマルウェア「Diaoyu」
初期のオペレーションでは、政府関係者に送信される巧妙にカスタマイズされたフィッシングメールが利用されました。これらのメールには、省庁の内部再編の取り組みを頻繁に参照するおとりが使われ、Mega.nzストレージサービスでホストされたローカライズされた名称の悪意のあるアーカイブへのリンクが埋め込まれていました。圧縮ファイルには、Diaoyuと呼ばれるマルウェアローダーと、pic1.pngという名前のゼロバイトPNGファイルが含まれていました。
Unit 42の研究者たちは、Diaoyuローダーが、特定の分析回避チェックを満たす条件下で、Cobalt Strikeペイロードとコマンド&コントロール(C2)用のVShellフレームワークをフェッチすることを発見しました。「横方向の画面解像度が1440以上のハードウェア要件に加え、サンプルは実行ディレクトリ内の特定のファイル(pic1.png)に対して環境依存性チェックを実行します」と研究者は述べています。彼らは、ゼロバイトの画像がファイルベースの整合性チェックとして機能し、それが存在しない場合、マルウェアは侵害されたホストを検査する前に終了すると説明しています。
検出を回避するため、ローダーはKaspersky、Avira、Bitdefender、Sentinel One、Norton (Symantec)などのセキュリティ製品の実行プロセスを検索します。フィッシングとは別に、TGR-STA-1030/UNC6619は、初期アクセスを達成するために、少なくとも15の既知の脆弱性も悪用しました。Unit 42は、この脅威アクターがSAP Solution Manager、Microsoft Exchange Server、D-Link、Microsoft Windowsのセキュリティ問題を悪用したことを発見しました。
新型Linuxルートキット「ShadowGuard」の脅威
TGR-STA-1030/UNC6619が「Shadow Campaigns」活動で使用するツールキットは広範囲にわたり、Behinder、Godzilla、Neo-reGeorgといったウェブシェル、およびGO Simple Tunnel (GOST)、Fast Reverse Proxy Server (FRPS)、IOXなどのネットワークトンネリングツールが含まれます。しかし、研究者たちは、この脅威アクターTGR-STA-1030/UNC6619に固有であると彼らが考える、「ShadowGuard」と呼ばれるカスタムLinuxカーネルeBPFルートキットも発見しました。
「eBPFバックドアは、非常に信頼性の高いカーネル空間内で完全に動作するため、検出が極めて困難です。」と研究者は説明しています。「これにより、セキュリティツールやシステム監視アプリケーションが実際のデータを見る前に、コアシステム機能や監査ログを操作することが可能になります。」
ShadowGuardは、システムコール傍受を用いて、悪意のあるプロセス情報をカーネルレベルで隠蔽し、標準的なLinux監視ツールから最大32個のPIDを隠します。また、swsecretという名前のファイルやディレクトリを手動検査から隠すこともできます。さらに、このマルウェアは、オペレーターが可視のままにするべきプロセスを定義できるメカニズムを備えています。
攻撃インフラとC2戦略
「Shadow Campaigns」で使用されるインフラは、米国、シンガポール、英国の正規VPSプロバイダーによる被害者向けサーバー、トラフィック難読化用の中継サーバー、およびプロキシとしての居住地プロキシまたはTorに依存しています。研究者たちは、フランス語圏の国々での.gouvトップレベル拡張子の使用や、欧州での攻撃におけるdog3rj[.]techドメインなど、ターゲットにとって馴染み深いと思われるC2ドメインの使用に気づきました。「このドメイン名は、西欧の文脈で米国政府効率化省や暗号通貨の名前など、いくつかの意味を持つ『DOGE Jr』を参照している可能性があります」と研究者は説明しています。
ユニット42の評価
Unit 42によると、TGR-STA-1030/UNC6619は、戦略的、経済的、政治的情報を優先する、作戦的に成熟したスパイアクターであり、すでに世界中の数十の政府に影響を与えています。Unit 42のレポートには、防御側がこれらの攻撃を検出・ブロックするのに役立つ侵害指標(IoC)が記載されています。