中国警察は、Silver Fox トロイの木馬の新たな亜種に関与する複数のサイバー犯罪組織を摘発しました。公安部のサイバーセキュリティ局が今週、今回の摘発を発表し、全国の企業財務担当者や政府関係者を標的とするマルウェアの活動実態を明らかにしました。
金融詐欺に特化したトロイの木馬
同局によると、Silver Fox の亜種は極めて巧妙な偽装能力を備えています。主に企業や公的機関の従業員を標的とし、中でも財務担当者に重点を置いています。被害者のコンピューターに感染すると、攻撃者はリモートコントロール権限を取得します。そこからアカウントのパスワードを窃取し、SMS認証コードを傍受し、個人情報を収集することが可能です。
こうした機能の組み合わせにより、Silver Fox は決済・給与処理・機密の社内通信を扱う部門にとって特に危険な存在となっています。このレベルのアクセス権を手にした攻撃者は、1台の感染マシンから迅速に広範な金融詐欺へと展開できます。
5省、複数の犯罪組織
最も詳細な記録が残るのは吉林省の事例です。China Daily が伝える摘発情報によると、警察は陳容疑者を首謀者とする犯罪グループを摘発しました。このグループは Silver Fox トロイの木馬の亜種を開発し、技術的手段を用いてセキュリティ検知を回避していました。捜査当局によれば、グループはフィッシングメールを大量送信して企業データを窃取しており、詐欺被害額の合計は700万元(約100万ドル)を超えるとされています。現地警察は陳容疑者を含む27人の容疑者に対して刑事強制措置を取りました。事件は現在も捜査中です。
吉林省以外でも、公安部の発表に関する広範な報道は、さらに4省での逮捕を指摘しています。浙江省では、Silver Fox トロイの木馬そのものの開発・販売者とみられる季容疑者が特定され、4人の共犯者とともに拘束されました。浙江省では別の事件として、周容疑者と2人の共犯者が関与する案件も明らかになっており、トロイの木馬を組み込んだ偽のアプリダウンロードサイトの運営が中心的な容疑です。
山東省では楊容疑者と15人が拘束されました。このグループはフィッシングサイトを構築し、感染したインストーラーファイルへ被害者を誘導していたとされています。広東省では、李容疑者と13人が、トロイの木馬を使って遠隔でシステムに不正アクセスしオンライン資産を窃取したとして訴追を受けています。5省合計の拘束者数は60人台半ばに達するとみられていますが、中国国営メディアが直接確認している数字は吉林省の27人のみです。
大規模なフィッシングインフラの構築
このマルウェアの配布モデルは、偽ダウンロードページに大きく依存しています。攻撃者はオフィスソフト、ブラウザ、VPNクライアント、メッセージングアプリの外観を模倣したページを作成し、正規ソフトウェアを検索する被害者に届けるため、検索エンジンを通じてこれらの偽ページを拡散しました。
中国の国家コンピューターネットワーク緊急対応技術チーム(CNCERT)は、2026年5月に公開したアドバイザリでこのキャンペーンの規模を詳述しています。同チームは、2026年2月6日から5月4日にかけて登録された439件のフィッシングドメインを分析しました。偽装の対象として最も多かったのは2つのソフトウェアカテゴリで、WPS Office と Chrome の偽ページが340件(全体の77.4%)を占めていました。
ドメイン登録には明確なパターンが見られました。CNCERT は登録が集中するバーストを観測しており、攻撃者が1分以内に LetsVPN を模したドメインを15件登録した事例も確認されています。サフィックスの選択も集中しており、.hl.cn と .com.cn ドメインが合わせてデータセット全体の73.4%を占めていました。
CNCERT はフィッシングページそのものの技術的な巧妙さも指摘しています。これらのサイトは Bing での SEO ポイズニングを通じて拡散されていました。また、ページの読み込み前にリファラヘッダーを確認する仕組みも備えており、検索結果経由ではなく直接アクセスした訪問者は Bing や他の無害なサイトにリダイレクトされました。この手法は、ページを直接分析しようとする研究者の調査を妨害するために設計されていました。
特筆すべきは、CNCERT のアナリストが人工知能ツールによるフィッシングページ生成を疑っていることです。同じソフトウェアブランドを繰り返し標的にしているにもかかわらず、複製されたページはレイアウトと構造が登録バッチごとに異なっていました。この不一致に加え、整理された標準化されたフロントエンドコードと汎用的な技術選択は、手動による複製ではなく、自動化された AI 支援によるページ生成を示唆しています。
複数の名称で追跡される脅威
中国語圏以外の報道では、このマルウェアファミリーは Void Arachne、UTG-Q-1000、TA4922 といった複数の別名で国際的な研究者の継続的な注目を集めてきました。The Hacker News の報道によると、このグループは Zoom、Signal、Telegram、Microsoft Teams、Surfshark VPN を模倣したドメインを使用しており、これらの偽ドメインには ValleyRAT や Winos といったリモートアクセスツールが組み合わされることが多いとされています。
このグループに関する独立した調査研究の数は注目に値します。Antiy、Qihoo 360、Check Point、Fortinet、Kaspersky、Proofpoint、Trend Micro といったセキュリティベンダーが個別に分析を公開しており、フィッシングインフラ、検索エンジンを利用した配布、税務をテーマにした誘引手口、脆弱なドライバの悪用などを詳細に記録しています。
Kaspersky の研究者は別途、このグループのツールセットをロシアおよびインドの組織への攻撃と結びつけています。それらのキャンペーンでは、公式の税務通知を装ったメールが使用され、ペイロードは圧縮アーカイブ内に隠されていました。攻撃者は Rust ベースのローダーを用いて ValleyRAT を被害者のマシンに展開しました。この調査の過程で、Kaspersky のチームは内部的に ABCDoor と追跡されていた、これまで文書化されていなかったバックドアも発見しました。このツールは少なくとも2024年末からグループのツールキットに組み込まれていたとみられています。
推奨される防御策
今回の逮捕を受け、中国警察は一般市民向けのガイダンスを発表しました。ソフトウェアは公式サイトからのみダウンロードすること、また類似文字や余分なハイフン、非公式のサフィックスを含む偽装ドメインを避けるためにドメインを慎重に確認することを推奨しています。会議や補助金を装ってチャットグループで共有されるリンクには注意を払い、クリックする前に送信者に直接確認するよう呼びかけています。カーソルが自動的に動いたり、メッセージが自動送信されるなどコンピューターの動作に異常が見られた場合は、直ちにネットワークから切断するよう警察は勧告しています。その後は別の安全なデバイスからパスワードを変更し、システム全体のスキャンを実行するよう求めています。
これらの手順は、同じマルウェアファミリーを追跡する国際的なセキュリティ研究者が示す標準的なガイダンスと一致しています。Silver Fox に関連するインフラが通常のソフトウェアダウンロードを模倣することがいかに多いかを考えると、何かをインストールする前にソースを確認することが最も確実な防御策であることに変わりはありません。
翻訳元: https://meterpreter.org/silver-fox-trojan-china-arrests/
