ESETの最新APT活動レポートによると、2025年10月から2026年3月にかけて記録された国家支援型のサイバー活動の多くは、地政学的圧力によって引き起こされたものです。中国、北朝鮮、ロシア、イランと連携するスパイグループは、各国政府の経済的・安全保障上の懸念に合わせて標的を調整しました。
攻撃元(出典:ESET)
「アジアでは、キャンペーンが主に政府機関、戦略的産業、先端技術セクターに集中していました。中東では、イスラエルがイランと連携・関与する活動の主要標的であり続け、スパイ侵入を受けた組織から破壊的ツールに狙われたデバイスメーカーまで、幅広い標的が確認されています」と、ESETの脅威リサーチ部門ディレクターであるJean-Ian Boutin氏は説明しています。
中国、石油と戦略技術を監視
同期間に記録された攻撃元のうち、中国と連携するグループが最も大きな割合を占めました。2026年1月、FamousSparrowは海事問題を担当するベネズエラ政府機関を標的にしました。中国はベネズエラの石油輸出の約半分を購入しており、ESETはこの作戦がアメリカの軍事介入後のベネズエラ石油輸送の耐久性を監視することを目的としていたと評価しています。
ESETが2024年12月に発見したグループ「SteppeDriver」は、2026年2月にシリアの政府ネットワークに到達しました。この活動は、シリアの再建に対する中国の商業的関心と、ウイグル人戦闘員がシリア軍に統合されることへの懸念を反映しています。別のグループ「NegativeGlimmer」は、カンボジアとパナマの政府機関、および韓国のAI・ロボット企業を侵害しました。AIとロボティクスは「中国製造2025」産業政策における優先分野であり、ESETは韓国への侵入が知的財産を標的としたものと評価しています。
北朝鮮、広く使用されているコードライブラリを汚染
2026年3月末までに、北朝鮮のLazarusグループに関連する攻撃者がnpmレジストリ上のaxiosパッケージを侵害しました。axiosは週間ダウンロード数が約1億件のJavaScript用HTTPクライアントです。攻撃者は偽のSlackワークスペースを構築し、企業創業者になりすましてメインメンテナーの信頼を獲得しました。Microsoft Teamsの通話中に、メンテナーにソフトウェアアップデートに偽装したトロイの木馬ファイルをインストールさせ、npmトークンを窃取してライブラリの悪意あるバージョンを公開しました。これらのパッケージは削除されるまで約3時間オンライン状態でした。研究者のGiuseppe MassaroとGoogleのGTIGは、この事案をBlueNoroffに帰属させています。
Andarielは2026年3月に韓国で再浮上し、液体水素取り扱いおよび核産業向け機器を製造するエンジニアリング企業にTigerRATとRookランサムウェアを展開しました。これらは平壌の弾道・核プログラムに関連する技術です。「Operation DreamJob」は、以前に欧州のドローンメーカーを攻撃した後、韓国の新聞社と製薬企業を標的にしました。ScarCruftはsqgameを侵害しました。sqgameは中国の延辺地域にサービスを提供するゲームプラットフォームであり、北朝鮮難民や脱北者に関する情報収集が目的とされています。
ロシア、ウクライナおよび国外でデータ消去を継続
ウクライナは引き続きロシアと連携した作戦の主要標的でした。Sednitはウクライナの軍事関係者やドローンメーカーに対してCovenantおよびBeardShellインプラントを展開しました。Sandwormは冬季を通じて破壊活動を増加させ、Rustで書かれたZeroRaysや、消去中に偽のWindowsアップデートメッセージを表示するNAUGHTYWIPEなど、新たなワイパーファミリーを展開しました。
2025年12月にはポーランドのエネルギー企業でデータ破壊インシデントが発生しました。ESETはDynoWiperと命名したワイパーを使用したこの攻撃を、中程度の確度でSandwormに帰属させています。このケースは、NATOの加盟国の重要インフラに影響を与えたことから特に注目されます。ポーランドはウクライナの電力供給の安定化を支援しており、ESETはこの作戦が冬季にウクライナの電力網を圧迫することを目的としていた可能性があると評価しています。
イランの活動、代理勢力と帰属不明グループへシフト
2026年2月下旬に始まったイランでの戦争は、ESETのテレメトリにおける既存のイラン連携APTグループの活動低下と重なりました。イラン政権によるインターネット制限が彼らの活動を制限しました。イラン寄りの代理グループやハクティビストグループはイスラエルと米国への攻撃を強化しました。
ESETはイランの特徴を持つ3つの帰属不明クラスターを記録しました。「Rusty Boots」はブートキット型のワイパーをイスラエルのデバイスメーカーに対して使用しました。「MoKhargosh」はGoKhargoshと呼ばれるバックドアで130以上のシステムを侵害し、後の使用に備えて破壊的オプションを保持しています。「MOØN Badr」は3つのイスラエルの被害者を対象とした小規模なスパイキャンペーンを実施しました。
その他に追跡された活動としては、日本のシンクタンクに対するブラウザインブラウザ型フィッシング攻撃、アラビア語話者を標的としたAsinという名のAndroidスパイウェア、そしてSmartOffice CRMサーバーを通じたUAEの防衛企業への侵害などが含まれます。
翻訳元: https://www.helpnetsecurity.com/2026/05/28/eset-apt-activity-report/
