ESET APT活動レポート 2025年第4四半期〜2026年第1四半期

ESET Research

脅威レポート

ESETリサーチが2025年第4四半期および2026年第1四半期に調査・分析した、選定されたAPTグループの活動概要

Image

ESET APT活動レポート 2025年第4四半期〜2026年第1四半期は、2025年10月から2026年3月にかけてESETの研究者が記録した、選定された高度持続的脅威(APT)グループの注目すべき活動をまとめたものです。ここで取り上げた活動は、この期間に調査した広範な脅威状況を代表するものであり、主要なトレンドや動向を示していますが、ESET脅威インテリジェンスAPTレポートの顧客に提供されるサイバーセキュリティインテリジェンスデータのほんの一部に過ぎません。

監視対象期間中、中国系の脅威アクターは世界各地で非常に活発に活動し、北京の経済的・安全保障上の利益に影響を与える地政学的動向に部分的に形成されたスパイキャンペーンを展開しました。米軍によるベネズエラへの軍事作戦と、湾岸地域の継続する不安定情勢を受けて、中国系グループが北京の海事・エネルギー・政治動向に関する情報収集能力を強化するために動員されている兆候を確認しました。注目すべき事例として、FamousSparrowが海事問題に関連するベネズエラの政府機関を標的にしており、米軍介入後の石油輸送の回復力を監視することを目的としていたと見られます。また、SteppeDriverがシリアの政府ネットワークを標的にしていることも確認しており、これはシリアの復興プロジェクトに対する中国の商業的関心と、同国に存在するウイグル人戦闘員を巡る安全保障上の懸念を反映している可能性があります。VirusTotalでは、Ivanti VPNアプライアンスを標的とするUNC5221のSPAWNツールセットの一部であると評価する新たなインプラント「PhiliKit」を発見しました。また、NegativeGlimmerの追跡では、カンボジアとパナマの政府機関、および韓国のAI・ロボティクス企業への侵害が明らかになりました。韓国における後者の標的化は、中国製造2025産業発展政策のもとで優先される戦略技術に対する北京の継続的な関心と合致しています。

2026年2月下旬に始まったイランでの戦争は、この期間のイラン系活動を規定する出来事となりました。逆説的なことに、この紛争はESETのテレメトリにおける既存のイラン系APTグループの活動減少と同時期に発生しており、これはイラン政権が課したインターネット規制が効果的な活動を妨げたためと考えられます。一方で、この環境はイスラエル、米国、およびテヘランに敵対的とみなされる他の国家を標的とする代理アクターおよびハクティビストの動員を促進したようです。また、以前に知られているグループとは自信を持って関連付けることができない、イスラエルの標的に対する活動の異例な急増も記録しました。帰属不明の2つの活動クラスター「Rusty Boots」と「MoKhargosh」は、ブートキット型ワイパーの展開や後の使用に向けた破壊的ツールの保持を含む、スパイ活動能力と破壊的潜在性の両方を示しました。一方、3つ目の「MOØN Badr」は標的型スパイ活動に限定されていたようです。

北朝鮮系の脅威アクターは複数の分野で活動を継続しました。複数のグループが、直接的な金銭的利益とソフトウェアサプライチェーン侵害の機会の両方をもたらし得るソーシャルエンジニアリング手法を用いて、開発者や暗号通貨エコシステムへの攻撃を継続しました。LazarusとDeceptiveDevelopmentは高価値標的との長期的な関係構築への投資を続けた一方、KimsukyとKonniはより迅速で機会主義的な攻撃を好みました。また、韓国でのAndarielの再出現も明らかになり、同グループはTigerRATを展開し、液体水素の取り扱いおよび核産業に関連する機器を製造していると思われるエンジニアリング企業内でRookランサムウェアの拡散を試みました。これらの技術は、平壌の弾道ミサイルおよび核開発野望にとって明らかに関心の対象です。

Operation DreamJobやOperation DangerousPasswordを含むLazarusキャンペーンの継続的な進化も追跡しました。前者は欧州のドローンメーカーを標的にしており、後者はnpmレジストリ上で週に1億回以上ダウンロードされ、世界中のウェブおよびモバイルアプリケーションに不可欠な、広く使用されているJavaScriptライブラリ「axios」の侵害につながりました。攻撃者はリードメンテナーの侵害された認証情報を悪用して、影響を受けたシステムにトロイの木馬化されたコードを注入する悪意あるバージョンのライブラリを公開しましたが、検出されて削除される前に行われました。並行して、ScarCruftは中国の延辺地域にサービスを提供するゲームプラットフォームを侵害しており、北朝鮮政権にとって関心のある人物(難民や脱北者を含む)に関する情報収集が目的と考えられます。

ロシア系の脅威アクターは引き続きウクライナと同国の防衛努力に関連する組織に圧倒的な焦点を当てました。SednitはウクライナのCovenantとBeardShellインプラントをウクライナ軍の人員、ドローンメーカー、ドローンの研究開発に携わる組織に対して展開し、ウクライナ国外の物流・輸送企業も標的にしました。Sandwormは冬季にウクライナの政府および民間セクターの標的に対して複数の新たなワイパーを展開し、破壊的活動を強化しました。特に注目すべきは、2025年12月にポーランドのエネルギー企業に影響を与えたデータ破壊インシデントであり、これを中程度の確度でSandwormに帰属させています。ウクライナ国外でのロシア系アクターによる破壊的攻撃は依然として稀ですが、このケースはNATOの加盟国の重要インフラに影響を与えたという点で際立っています。ウクライナへの電力供給安定化を支援するポーランドの役割を考慮すると、この作戦は冬季にウクライナの電力網に負荷をかけることを意図していた可能性があります。

また、知名度の低い未帰属クラスターからも注目すべきキャンペーンを複数追跡しました。これには、日本のシンクタンクに対するブラウザインザブラウザ型フィッシング攻撃、紛争追跡機能を提供すると称するアプリを通じてアラビア語話者を標的とする「Asin」と命名したAndroidスパイウェア、そしてSmartOffice CRMサーバーを通じたアラブ首長国連邦の防衛企業への侵害とそれに続くカスタム後処理ツールおよびリバースプロキシツールの展開が含まれます。

ESETの製品は、このレポートに記載されている悪意ある活動から顧客のシステムを保護します。ここで共有されるインテリジェンスは、主にESET独自のテレメトリデータに基づいており、ESETの研究者によって検証されています。

Image
Image

ESET APT活動レポートには、ESET脅威インテリジェンスAPTレポートで提供されるサイバーセキュリティインテリジェンスデータのほんの一部しか含まれていません。詳細については、ESET脅威インテリジェンスのウェブサイトをご覧ください。

翻訳元: https://www.welivesecurity.com/en/eset-research/eset-apt-activity-report-q4-2025-q1-2026/

ソース: welivesecurity.com