ラテンアメリカ各国の政府機関・金融機関を狙った組織的なサイバー攻撃キャンペーンが、攻撃者自身のミスによって全貌を明らかにされました。ステージングサーバーがインターネット上に誤って公開されたことが、その発端です。
CloudSEKが公開した新たな分析レポートによると、同社の研究者が2026年初頭に攻撃グループのサーバー上でオープンディレクトリを発見し、残存していたアーティファクトからツールキット全体を解析しました。この作戦は「オペレーション・エスカネオ(Operation Escaneo)」と命名されています。
攻撃はメキシコの重要インフラを中心に展開され、エクアドルおよびポルトガルでも一部の活動が確認されています。標的となったのは、政府機関、税務当局、公益事業者、交通機関、通信会社、銀行など多岐にわたります。
CloudSEKは、少なくとも5つの被害組織からのビーコン通信と、大規模なデータ窃取を確認したと述べています。
境界線からの侵入
侵入の主な入口となったのは、インターネットに直接接続されたセキュリティアプライアンスです。攻撃グループは、Fortinet FortiOS SSL-VPNの脆弱性(CVE-2022-42475およびCVE-2024-21762)や、Ivanti Connect Secureの脆弱性(CVE-2023-46805、CVE-2024-21887、CVE-2025-0282)に対する洗練されたエクスプロイトを保有しており、標的システムをクラッシュさせないよう、公開されている概念実証(PoC)コードを改変して使用していました。
攻撃の範囲はネットワーク境界機器にとどまらず、Apache TomcatのGhostCat脆弱性、WindowsのEternalBlueおよびZerologon、さらにLog4Shellに対するエクスプロイトも活用されています。
これらすべての攻撃を支えていたのが、グループ独自の偵察エンジン「Kimera」です。CloudSEKによれば、Kimeraは標的を高速でスキャン・選別し、そのまま攻撃段階へと引き渡す役割を担っていました。
メキシコのインフラを標的とした攻撃についての詳細記事: OpenAIおよびAnthropicのLLMが重要インフラへのサイバー攻撃に使用される
トンネル、ルーター、そして窃取データ
持続的なアクセスを確保するため、攻撃グループはアクセス経路を多層化していました。Webサーバーへの暗号化された足がかりとしてNeo-reGeorgウェブシェルを使用し、ChiselリバーストンネルでHTTP経由のトラフィックを転送しました。さらに、侵害したCiscoルーターにGREトンネルを設定し、攻撃者のサーバーへのネットワークレベルの経路を確保していました。この手法はホストベースの防御では検知が困難です。
Chiselのログだけでも、13日間で3,708セッションが記録されています。
-
ある輸送事業者から130万件以上の個人情報
-
被害組織のActive Directoryのマッピングデータ(407MB)
-
データベースサーバーからリアルタイムで流出したSSL秘密鍵
-
SAPサービスアカウントのパスワードハッシュおよびブラウザに保存されたパスワード
ハクティビストグループとの関連疑惑
CloudSEKは「中程度の確度」として、今回のキャンペーンを「メキシカン・マフィア(Mexican Mafia)」または「パンチョ・ビラ(Pancho Villa)」と呼ばれるグループに帰属させています。このグループは2024年を通じて、メキシコの政府機関、司法機関、エネルギー関連組織への侵害を主張しており、一部の攻撃は抗議活動の一環として位置づけていました。
ただし同社はこの関連性に留保を付けており、グループが過去に主張した侵害の一部は、名指しされた組織側から異議を唱えられていると指摘しています。
帰属の問題とは別に、CloudSEKはラテンアメリカの組織に対し、まずネットワーク境界のアプライアンスにパッチを適用するよう強く求めており、特にFortinетおよびIvantiの脆弱性への対応を優先するとともに、本作戦に特有のひそかな兆候にも注意を払うよう呼びかけています。
注意すべき兆候としては、外部アドレスへのGREトンネル、ChiselのTCP-over-HTTPトラフィック、そしてSAPやOracleを通じた不審なコマンド実行などが挙げられます。
翻訳元: https://www.infosecurity-magazine.com/news/operation-escaneo-cloudsek-latam/
