はじめに
Salt Typhoonは、今日のグローバルな重要インフラを標的とする、最も執拗で洗練されたサイバー脅威の一つです。中華人民共和国の国家支援アクターと関連があるとされるこの高度な持続的脅威グループは、通信プロバイダー、エネルギーネットワーク、政府システムに対し、特に米国を中心に一連の大きな影響を与えるキャンペーンを実行してきました。
少なくとも2019年から活動しているこのグループ(Earth Estries、GhostEmperor、UNC2286としても追跡)は、80カ国以上でエッジデバイスの悪用、深い永続性の維持、機密データの窃取において高度な能力を示しています。これまでの報告は米国を標的としたものに集中していましたが、Salt Typhoonの活動はヨーロッパ、中東、アフリカにも拡大し、通信事業者、政府機関、テクノロジー企業を標的としています。Ivanti、Fortinet、Ciscoなどのベンダー製品におけるカスタムマルウェアの使用と高影響度脆弱性の悪用は、情報収集と地政学的影響力を融合させた戦略的なキャンペーンの性質を浮き彫りにしています。
欧州の通信プロバイダーへの攻撃事例
ゼロデイエクスプロイト、難読化技術、およびラテラルムーブメント戦略を駆使することで、Salt Typhoonは検出を回避し、機密環境への長期的なアクセスを維持する驚くべき能力を示しています。このグループの活動は、合法的な傍受システムを露呈させ、数百万人のユーザーのメタデータを侵害し、不可欠なサービスを妨害し、世界中の情報機関および民間セクターパートナーからの協調的な対応を促しています。
Darktraceは最近、欧州の通信組織において、Salt Typhoonの既知の戦術、技術、手順と一致する活動を観測しました。これには、ダイナミックリンクライブラリ(DLL)サイドローディングや、ステルス性と実行のために正規ソフトウェアを悪用する行為が含まれます。この侵入は、2025年7月の第1週にCitrix NetScaler Gatewayアプライアンスの悪用から始まった可能性が高いです。そこから、攻撃者はクライアントのMachine Creation Servicesサブネット内のCitrix Virtual Delivery Agent(VDA)ホストに侵入しました。侵入における初期アクセス活動は、SoftEther VPNサービスに関連する可能性のあるエンドポイントから発生しており、当初からインフラの難読化が示唆されています。
Darktraceはその後、複数のCitrix VDAホストにバックドア「SNAPPYBEE」(Deed RATとしても知られる)が配信されたことを高い確信度で確認しました。このバックドアは、Norton Antivirus、Bkav Antivirus、IObit Malware Fighterなどの正規のアンチウイルスソフトウェアの実行可能ファイルとともにDLLとしてこれらの内部エンドポイントに配信されました。この活動パターンは、攻撃者が正規のアンチウイルスソフトウェアを介したDLLサイドローディングを利用してペイロードを実行したことを示しています。Salt Typhoonおよび同様のグループは、この技術を以前から使用しており、信頼されたソフトウェアを装ってペイロードを実行し、従来のセキュリティ制御を回避することを可能にしています。
攻撃者によって配信されたバックドアは、コマンド&コントロール(C2)のためにLightNode VPSエンドポイントを利用し、HTTPと未識別のTCPベースプロトコルの両方で通信していました。このデュアルチャネル設定は、Salt Typhoonが検出を回避するために非標準および多層プロトコルを使用する既知のパターンと一致しています。バックドアによって表示されたHTTP通信には、Internet ExplorerのUser-Agentヘッダーと「/17ABE7F017ABE7F0」のようなターゲットURIパターンを持つPOSTリクエストが含まれていました。侵害されたエンドポイントが接触したC2ホストの一つは「aar.gandhibludtric[.]com」であり、これは最近Salt Typhoonに関連付けられたドメインです。
検出と対応の取り組み
Darktraceは、侵入の初期段階で高い確信度で検出を行いました。初期のツールとC2活動の両方が、Darktrace Cyber AI Analystの調査とDarktraceモデルによって強力にカバーされました。Cyber AI Analystは、侵入からの個別のイベントをより広範なインシデントにまとめ、攻撃者の進行状況を要約しました。脅威アクターの洗練度にもかかわらず、侵入活動は攻撃の初期段階を超えてエスカレートする前に特定され、修復されました。Darktraceのタイムリーな高確信度検出が、脅威を無力化する上で重要な役割を果たした可能性が高いです。
DarktraceのCyber AI Analystは、侵入の初期段階で生成されたモデルアラートを自律的に調査し、初期のツールとC2イベントを発見し、それらを攻撃者の進行状況を表す統一されたインシデントにまとめました。戦術、技術、手順、ステージングパターン、インフラストラクチャ、およびマルウェアの重複に基づき、Darktraceは観測された活動がSalt Typhoonと一致すると中程度の確信度で評価しています。
組織が脅威モデルを再評価する中で、Salt Typhoonは国家主導のサイバー作戦の進化する性質と、シグネチャベースのアプローチだけでなく、行動異常検出に依存するプロアクティブな防御戦略の緊急の必要性を強く思い出させるものとなっています。