Googleの脅威ハンターが、また新たな中国の国家支援型スパイグループを発見しました。このグループは政府機関や民間組織のシステムに長年潜伏し、学術・医療・軍事・サイバーセキュリティ・外交政策の分野でデータを窃取していました。
Google脅威インテリジェンスグループ(GTIG)は、これまで知られていなかった脅威グループ「UNC6508」を2025年末に発見しました。同グループは米国とカナダの組織を標的にしており、最初の侵害は2023年9月にまで遡ることが確認されています。
この発覚は、中国のスパイグループが重要インフラにバックドアを仕掛け、破壊工作への布石を打ちながら研究情報を傍受し、国家安全保障に関わるデータを盗み取るという、由々しきパターンを改めて浮き彫りにしています。UNC6508を含む、中国政府の指示のもとで活動するこれらのグループは、当局や研究者に発覚するまで何年もの間、ひそかに活動を続けていました。
「この一連のキャンペーンの全容や被害の規模は、まだ把握しきれていません」とGTIGのシニアセキュリティエンジニア、パトリック・ウィッツェル氏はCyberScoopに語っています。研究者によると、このグループは2023年9月に医学研究大学に侵入して認証情報や通信内容を盗み、発覚した2025年11月まで同機関のシステムに居座り続けていたとのことです。
Googleは、複数の被害組織でカスタムバックドア「INFINITERED」への感染を確認しました。このバックドアは、外部公開されているREDCap(Research Electronic Data Capture)サーバーを悪用した後、管理者の認証情報を窃取するためにネットワーク上に展開されたものです。
UNC6508がREDCapサーバーへの最初のアクセスをどのように取得したかは、いまだ解明されていません。Googleによると、このアンケート・データベースソフトウェアはヴァンダービルト大学が開発したもので、2023年を通じてリモートコード実行の重大な脆弱性に対する複数のパッチが提供されており、医学研究コミュニティで広く使用されています。
「この脅威アクターが収集していた情報の幅広さと、1年以上にわたって侵害されたネットワーク内で検知されなかった能力を考えると、現時点で判明している被害者はより大規模なキャンペーンのほんの一部に過ぎないと評価しています」とウィッツェル氏は述べています。「また、この高度な能力を持つ脅威アクターは今後も活動を続け、防衛・技術・医療業界にとっての脅威であり続けると見ています。」
Googleによると、このキャンペーンは臨床医療機関、大学付属医療センター、米軍の医療機関を標的としており、現時点で他に公知のグループとは重複しない高度な能力を持つ脅威グループの存在を示しています。
研究者によると、このグループはマルウェアや「自給自足型(living-off-the-land)」ツールを使わず、ドメインのコンプライアンスルールを悪用してデータを窃取する手法を採用し、米国内のIPアドレス経由でトラフィックをルーティングすることで正規の通信に紛れ込んでいたとのことです。
「このグループが複数のサブチームを持つ大規模な組織である可能性を示す証拠はありますが、現時点では確認されていません」とウィッツェル氏は話しています。
これまで確認されてきた他の中国の国家支援型スパイグループと同様に、UNC6508は現在も活動を続けています。
Googleはデータ窃取に使われていたGmailアカウントを無効化するなど、UNC6508の既知のインフラの一部を無効化しました。また、被害を受けた組織に通知を行い、UNC6508の活動に関する調査結果を公表する前に侵害の修復を支援しています。
ウィッツェル氏によると、確認が取れていない複数の侵害事例については、現在も調査が進められているとのことです。
翻訳元: https://cyberscoop.com/google-unc6508-china-espionage-threat/
