Silent Lynx APT、政府関係者になりすまし新たな攻撃を展開
Seqrite LabsのAPTチームは、高度な脅威アクターグループであるSilent Lynxによる新たなキャンペーンを文書化しました。このグループは、中央アジアの外交官や政府職員を標的とするため、政府関係者になりすましたスピアフィッシング作戦を組織することで知られています。YoroTrooper、Sturgeon Phisher、Cavalry Werewolfなどの別名でも追跡されているこのグループは、運用セキュリティの改善をほとんど行わず、研究者に明確な帰属指標を残しながら、スパイ活動を続けています。
「Operation Peek-A-Baku」と総称される最新のキャンペーンは、地政学的に機密性の高いイベントを監視するというSilent Lynxの執拗な関心を示しています。2025年を通じて、この脅威グループはアゼルバイジャンとロシアの関係、中国と中央アジアの外交イニシアチブ、および国境を越えたインフラプロジェクトに関与する組織を標的としてきました。研究者たちは、このグループの主要な目的が、ドゥシャンベ地域における首脳会議やハイレベルな外交交渉、特に戦略的協力協定や交通インフラ開発に関連する情報を収集することにあると考えています。
欺瞞的な戦術とフィッシング戦略
Silent Lynxは、正規の政府文書を模倣するように巧妙に作成されたファイル名で武装した悪意のあるRARアーカイブから始まる、単純だが効果的な攻撃手法を採用しています。2025年10月のロシアとアゼルバイジャンの関係を標的としたキャンペーンでは、研究者たちは「План развитие стратегического сотрудничества.pdf.rar」(戦略的協力開発計画)という名前のファイルを発見しました。このファイルには悪意のあるLNKショートカットが含まれていました。
注目すべきは、ファイル名にロシア語の文法的な誤りがあることで、非ネイティブスピーカーまたは自動翻訳ツールが資料を作成した可能性を示唆しています。実行されると、LNKファイルはPowerShellバイナリプロセスを悪用して、GitHubリポジトリ(具体的にはGoBuster777という名前のリポジトリ)から悪意のあるスクリプトをダウンロードして実行します。このインフラの選択は、グループがコマンド&コントロールペイロードをホストするために正規のサービスを使用することを好み、検出面を減らしながら永続化能力を維持していることを示しています。
Base64エンコードされたブロブをデコードした結果、これは206.189.11.142:443に接続する迅速なTCPベースのリバースシェルであることが判明しました。フィッシングコンテンツは、二国間首脳会議の組織に関与する外交機関を具体的に標的とし、機密性の高い地政学的会議を取り巻く自然に高まる警戒心を利用しています。
技術的な武器の進化
技術分析により、Silent LynxがSilentLoader、Laplas、SilentSweeperを含む複数のインプラントを開発していることが明らかになりました。これらはそれぞれ、確立されたツールキットに対する段階的な変更を表しています。このグループは、Base64エンコードされたPowerShellリバースシェルとC++ローダーに大きく依存しており、6分ごとに実行されるように構成されたスケジュールされたタスクを通じて永続性を確立しています。
研究者たちは、脅威アクターが暗号化されたプロキシサポートとクロスプラットフォーム互換性を提供するオープンソースのトンネリングツールであるLigolo-ngを展開していることに注目しました。このキャンペーンを特徴づけるのは、以前のセキュリティ研究に対する明らかな対応です。従来のバイナリファイルにエンコードされたペイロードを直接埋め込むのではなく、Silent Lynxは最終段階のペイロードをGitHubリポジトリからダウンロードするように変更しました。この変更は、脅威アクターがセキュリティ研究の出版物を監視し、それに応じて戦術を適応させていることを示唆していますが、そのような変更は比較的表面的なものです。
中央アジア諸国を標的としたキャンペーンは、被害者とインフラの選択において顕著な一貫性を示しています。研究者たちは、ロシアとオランダの悪意のあるホストアドレスを含む、複数のキャンペーンにわたる重複するコマンド&コントロールインフラとアーティファクトの再利用を特定しました。
今後の見通しと推奨事項
Seqriteの研究者たちは、Silent Lynxが低コストの永続化操作のために二層スクリプトとGitHubホスト型ペイロードを引き続き利用すると評価しています。早期の対策勧告は、10月に予定されているインドと中央アジアの事務次官会議を標的とする可能性のあるキャンペーンを監視することを提案しており、これは2025年を通じて国境を越えた対話イニシアチブを監視するというグループの関心を示しています。