中国ハッカーが東南アジアの軍事組織を標的とする

中国を拠点とするサイバー諜報活動が、少なくとも2020年から続いている国家後援のキャンペーンの一環として、東南アジアの軍事組織を標的としています。Palo Alto Networks Unit 42は、この脅威活動をCL-STA-1087と名付け、CLはクラスタを、STAは国家後援の動機を表しています。

高度な持続型脅威の特徴

このキャンペーンは、高度な持続型脅威(APT)の活動に見られる特徴を示しています。それは、巧妙に作成された配布方法、防御回避戦略、安定した運用インフラストラクチャ、および持続的な非合法なアクセスをサポートするカスタムペイロードの展開を含んでいます。

使用されたツール

• AppleChrisとMemFunという名前のバックドア
• Getpassと呼ばれる資格情報収集ツール

脅威の展開

脅威アクターは、PowerShellの実行を検出した後、スクリプトを6時間のスリープ状態にさせ、逆シェルを脅威アクターが制御するコマンド＆コントロール(C2)サーバーに作成することで、この侵入セットを検出したとされています。

AppleChrisとMemFunの詳細

• AppleChrisは、Pastebinアカウントにアクセスし、Base64でデコードされた形式で保存された実際のC2アドレスを取得します。
• MemFunは、PastebinからC2設定の詳細を取得し、C2サーバーと通信し、DLLを取得します。このDLLは、バックドアの実行をトリガーします。

脅威アクターの戦略

脅威アクターは、高度な持続型脅威(APT)の特徴を示す戦略を採用しています。それは、精密な情報収集と強固な運用セキュリティ措置を実装することで、キャンペーンの長期的な持続性を確保しています。

結論

「脅威アクターは、運用の忍耐力とセキュリティ意識を示しました。彼らは数ヶ月間、静かにアクセスを維持しながら、精密な情報収集に焦点を当て、強固な運用セキュリティ措置を実装してキャンペーンの長期的な持続性を確保しました」と、Unit 42は結論付けています。

---

元記事: https://thehackernews.com/2026/03/chinese-hackers-target-southeast-asian.html