概要:高度な脅威グループ「Salt Typhoon」の活動
「Salt Typhoon」は、中国の国家支援型とみられる高度な持続的脅威(APT)グループであり、世界中の重要インフラを標的とした最も執拗かつ洗練されたサイバー脅威の一つとして知られています。2019年以降、このグループは通信事業者、エネルギーネットワーク、政府システムに対し、特に米国を中心に、ヨーロッパ、中東、アフリカを含む80カ国以上で高影響のキャンペーンを展開してきました。彼らは「Earth Estries」、「GhostEmperor」、「UNC2286」といった別名でも追跡されています。
攻撃手法と標的
Salt Typhoonは、ゼロデイエクスプロイト、難読化技術、ラテラルムーブメント戦略を駆使し、検出を回避して機密環境への長期的なアクセスを維持する驚くべき能力を示しています。彼らのキャンペーンは、インテリジェンス収集と地政学的な影響力を融合させており、Ivanti、Fortinet、Ciscoといったベンダー製品の脆弱性を悪用しています。
最近の事例では、2025年7月上旬にヨーロッパの通信事業者で観測された活動がSalt Typhoonの既知の戦術、技術、手順と一致していました。この侵入は、Citrix NetScaler Gatewayアプライアンスの悪用から始まった可能性が高いとされています。攻撃者はそこからCitrix Virtual Delivery Agentホストへと侵入し、SoftEther VPNサービスに関連するエンドポイントから初期アクセスが行われたとみられています。
DLLサイドローディングによるペイロード実行
Darktraceは、脅威アクターが「SNAPPYBEE」(Deed RATとしても知られる)というバックドアを複数のCitrix VDAホストに配信したことを確認しました。このバックドアは、Norton Antivirus、Bkav Antivirus、IObit Malware Fighterなどの正規のアンチウイルスソフトウェアの実行可能ファイルと共にDLLとして配信されました。これは、攻撃者が正規のアンチウイルスソフトウェアを介したDLLサイドローディングに依存してペイロードを実行したことを示しています。Salt Typhoonのようなグループは、この手法を用いて信頼されたソフトウェアを装ってペイロードを実行し、従来のセキュリティ制御を回避する歴史があります。
コマンド&コントロール(C2)通信
バックドアは、LightNode VPSエンドポイントをコマンド&コントロール(C2)に利用し、HTTPと未識別のTCPベースプロトコルの両方で通信していました。このデュアルチャネル設定は、Salt Typhoonが検出を回避するために非標準的で多層的なプロトコルを使用する既知のパターンと一致します。HTTP通信には、Internet ExplorerのUser-Agentヘッダーと「/17ABE7F017ABE7F0」のようなターゲットURIパターンを含むPOSTリクエストが含まれていました。侵害されたエンドポイントが接触したC2ホストの一つである「aar.gandhibludtric[.]com」は、最近Salt Typhoonに関連付けられたドメインです。
検出と対応の重要性
Darktraceは、侵入の初期段階で高信頼性の検出を行い、初期のツールとC2活動の両方がDarktrace Cyber AI Analystの調査とモデルによって強力にカバーされました。脅威アクターの洗練された手口にもかかわらず、侵入活動は攻撃の初期段階を超えてエスカレートする前に特定され、対処されました。これは、Darktraceのタイムリーな高信頼性検出が脅威を無力化する上で重要な役割を果たしたことを示唆しています。
Salt Typhoonは、国家主導のサイバー作戦の進化する性質と、シグネチャベースのアプローチだけでなく、行動異常検出に依存するプロアクティブな防御戦略の緊急の必要性を強く示唆しています。