概要

サイバーセキュリティ研究者は、APT41に関連するサイバー攻撃を展開しているとされる高度な持続的脅威（APT）グループ「Silver Dragon」について詳細を発表しました。このグループは、少なくとも2024年中頃から欧州と東南アジアの政府機関を標的としています。

攻撃手法

「Silver Dragon」は、公開されているインターネットサーバーの脆弱性を悪用したり、悪意のある添付ファイルを含むフィッシングメールを配信することで、初期アクセスを獲得します。また、合法的なWindowsサービスを乗っ取り、マルウェアプロセスを通常のシステム活動に紛れ込ませることで、持続性を維持します。

APT41との関連

「Silver Dragon」は、APT41の傘下で活動していると評価されています。APT41は、2012年から医療、通信、ハイテク、教育、旅行サービス、メディアセクターを標的とするサイバースパイ活動で知られる中国のハッキンググループです。

攻撃の特徴

「Silver Dragon」の攻撃は主に政府機関を標的としており、攻撃者は「Cobalt Strike」ビーコンを使用して、侵害されたホストで持続性を維持します。また、DNSトンネリングなどの技術を用いて、検出を回避します。

感染チェーン

Check Pointは、Cobalt Strikeの配信に使用される3つの異なる感染チェーンを特定しました。

• AppDomain乗っ取りとサービスDLLの2つの感染チェーンは、圧縮アーカイブを介して配信され、ポストエクスプロイトシナリオで使用される可能性があります。
• メールベースのフィッシングチェーンは、ウズベキスタンを主な標的としており、悪意のあるWindowsショートカット（LNK）ファイルを添付ファイルとして使用します。

後方展開ツール

「Silver Dragon」は、後方展開ツールとして「SilverScreen」、「SSHcmd」、「GearDoor」を使用します。

• SilverScreenは、ユーザーの活動をキャプチャするスクリーン監視ツールです。
• SSHcmdは、SSH経由でリモートコマンドの実行とファイル転送を提供するコマンドラインSSHユーティリティです。
• GearDoorは、Google DriveをC2インフラストラクチャとして使用する.NETバックドアです。

Google DriveをC2として使用

「GearDoor」は、Google Driveアカウントに認証して、ハートビートファイルをアップロードします。また、Google Driveの異なるファイル拡張子を使用してタスクの種類を指示します。

脅威グループの進化

「Silver Dragon」は、APT41とのトレードマークの重複と、中国関連のAPT活動で観察された暗号化メカニズムの使用から、APT41と関連付けられています。

結論

---

元記事: https://thehackernews.com/2026/03/apt41-linked-silver-dragon-targets.html