- Darktrace、アジア太平洋と日本を標的とするTwill Typhoon(Mustang Panda)が更新されたFDMTPバックドアv3.2.5.1を使用していることを報告
- 攻撃者はSogou Pinyin と悪意のあるDLLを含むスピアフィッシングされたZIPを介したDLLサイドローディングを使用し、Yahoo/Apple CDNトラフィックになりすました
- FDMTPはシステム情報を収集し、リモートコントロールと永続性のためのプラグインをインストール。研究者は静的インジケーターより動作検出を強調
中国の国家が支援する脅威アクターが、既知のバックドアの更新版を使用してアジア太平洋地域全体および日本を含む組織を標的にしていると、専門家は警告しています。
セキュリティ研究者Darktrace による新しい脅威インテリジェンスレポートによると、2025年9月下旬から2026年4月にかけて、Twill Typhoon(またはMustang Panda)と呼ばれるハッキング集団が、FDMTP(現在のバージョン3.2.5.1)というバックドアを使用して、少なくとも1つの金融セクター企業を含む組織を標的にしていることが判明しました。
FDMTPを配信するために、攻撃者はDLLサイドローディングを使用しました。スピアフィッシングを通じて、彼らは正当で信頼できるプログラム(この場合、Sogou Pinyin という一般的な中国語入力メソッドエディター)と同じ名前の悪意のあるDLLを含むZIPファイルを配信します。被害者がプログラムを実行すると、正当なDLLではなく悪意のあるDLLがロードされ、攻撃者がアクセスを取得してバックドアをデプロイする能力を得ます。
彼らはまた、YahooやAppleなどのよく知られたCDNインフラストラクチャになりすまして、彼らのトラフィックを通常のWebアクティビティにブレンドさせて、発見されるのを避けます。
内部に入ると、FDMTPは攻撃者が制御するC2への接続を確立し、詳細なシステム情報(アンチウイルスソフトウェア、ユーザーアカウントなど)を収集し、攻撃者がコマンドをリモートで実行し、ファイルを管理し、システムプロセスを操作するか、永続的なアクセスを維持することを可能にするモジュラープラグインをインストールします。
「このアプローチは、より広範な中国関連の方法と一致しています」と、Darktrace はレポートで述べています。「このアクティビティの安定した特徴は動作です。インフラストラクチャは変わり、ペイロードも変わりますが、実行モデルは永続します。防御者にとって、含意は簡潔です:個々のインジケーターに固定された検出は急速に低下します。行動シーケンスに固定された検出は、はるかに耐久性のあるアプローチを提供します。」
つまり、企業は特定の既知の悪いインジケーターではなく、そのシーケンスを認識する検出システムが必要です。
