新たなサイバー侵入キャンペーンは、金銭的動機を持つ攻撃者がAPT(高度持続的脅威)グループの戦術・技術・手順(TTP)を駆使したことで、ラテンアメリカの脅威情勢に変化が生じていることを示しています。
これは脅威監視企業CloudSEKによる報告です。同社は昨日、「オペレーション・エスカネオ(Operation Escaneo)」と呼ばれる脅威キャンペーンの詳細を公開しました。このキャンペーンは、MexicanMafia(別名PanchoVilla)として知られる高度な脅威アクターに中程度の確度で帰属されています。MexicanMafiaはラテンアメリカ、特にメキシコの重要インフラを繰り返し標的にしてきた実績があります。
過去の被害者には、オアハカ州警察、メキシコシティ市政府、メキシコ州政府、メキシコ税務当局SAT、メキシコシティ最高裁判所、メキシコの国営石油会社Pemexなど、多数の組織が含まれます。
CloudSEKが調査ブログとして公開した最新レポートでは、2025年から2026年にかけてラテンアメリカを中心とした重要インフラを標的にした、組織的・多段階型キャンペーンが詳細に分析されています。オペレーション・エスカネオで最も多く標的とされた国はメキシコであり、次いでエクアドル、そして副次的にポルトガルでも活動が確認されています。研究者らはこのキャンペーンのツールセットを「高度なもの」と評し、自動化された偵察とデータ窃取が特徴だとしています。
研究者によると、使用されたツールには、独自の偵察エンジン「Kimera」、Fortinet・Ivanti・Ciscoなどの一般的な境界デバイスを標的とした「厳選されたエクスプロイト兵器庫」、携帯型の横展開ツールキット、そして「Neo-reGeorgウェブシェル、Chiselリバーストンネル、永続的なGREトンネルを持つ侵害済みCiscoルーターを活用した多層的なC2インフラ」が含まれているといいます。
「この脅威アクターは、WindowsおよびLinux環境を横断して活動し、SAP ERPやOracleデータベースシステムを侵害してコマンドを実行し、暗号化マテリアルやActive Directoryのデータセットを窃取し、複数の冗長な永続化メカニズムによって長期間のアクセスを維持する能力を実証しました」と研究者らは述べています。
しかし、金銭的動機を持つ脅威アクターとしては異例なことに、MexicanMafiaは税務当局のSSL秘密鍵やモバイルデバイス管理(MDM)インフラといった特に価値の高いデータを侵害しており、スパイ活動への「潜在的な関与」が示唆されています。
CloudSEKの脅威インテリジェンス研究者であるKoushik Pal氏はDark Readingに対し、これは必ずしもMexicanMafiaが政治的な目的を持っていることを意味するのではなく、むしろ入手できるものを(少なくとも一部のケースでは)アンダーグラウンドフォーラムで売却しようとしているだけだと述べています。
「私たちが観察しているのは、金融活動が国家プログラムを明確に資金援助する北朝鮮モデルとは異なります。むしろ興味深いのは、情報収集と見られる活動と並行して機会主義的な収益化が行われており、両目的の間に中央集権的な調整がない可能性があるという点です」と同氏は話します。「最もシンプルな説明は、高度なデュアルマンデートではなく、インフラの資金が必要で手の届くものを何でも入手した一方で、一部の標的は別個の情報収集のアジェンダに利用されたということです」
オペレーション・エスカネオが示す高度なキャンペーン
MexicanMafiaはKimeraによる偵察を行った後、広く知られた複数の脆弱性を悪用して初期アクセスを獲得します。具体的には、FortiGate SSL-VPNの脆弱性であるCVE-2022-42475、CVE-2023-27997、CVE-2024-21762、さらにIvanti Connect Secureの認証バイパスとコマンドインジェクションを組み合わせたCVE-2023-46805/CVE-2024-21887の脆弱性チェーンが利用されています。また、GhostCat脆弱性(CVE-2020-1938)を通じたApache Tomcat AJPコネクターの悪用も確認されています。
コード実行と永続化にはウェブシェルとトンネリングツールが使用されています。権限昇格および横展開は、Zerologon、EternalBlue、PwnKit脆弱性CVE-2021-4034などの脆弱性悪用に加え、RDP、PsExec、Impacketなどのユーティリティを組み合わせることで実現されています。
MexicanMafiaは成熟度の高い脅威アクターとみなされています。独自の偵察フレームワークの運用に加え、カスタムのProof of Conceptを含むエクスプロイト兵器庫を保持し、運用インフラ上でのオンプレミスの認証情報クラッキングを行うとともに、「ホストレベルのシステムに加え、ネットワーク層のインフラ(CiscoルーターやFortiGate VPN)を侵害する能力」を実証しています。
MexicanMafiaは金銭的動機を持つ脅威アクターであり、主に大規模な価値ある情報の窃取を行っています。CloudSEKはさらに、認証情報および暗号化マテリアルの窃取、長期的な永続化を目的としたActive Directoryのマッピング、そして金融的な搾取を動機として特定しています。
ラテンアメリカの脅威情勢の変化
今回のキャンペーンは、サイバー犯罪者とAPTアクター間のツール格差が事実上なくなったことを改めて示しています。Pal氏が説明するように、歴史的にAPTアクターを区別していたのは技術的な能力よりも、作戦上の忍耐力と標的選定の規律でした。このことは、ラテンアメリカの脅威情勢の変化をさらに裏付けるものです。
「ラテンアメリカは歴史的に、主として被害を受ける側の環境でした」と同氏は述べています。「スペイン語圏と関連するアクターがこれほどの作戦的洗練度、カスタムフレームワーク、ルーターレベルの永続化、SAP専用ツールを持つことは、脅威アクターがその地域への関心を高めていることを示しています」
防御側に向けてCloudSEKは、重要な境界デバイスの強化を最優先事項として直ちに取り組むことを推奨しています。具体的には、Fortinet FortiOS、Ivanti Connect Secure、Apache Tomcat AJPに関連する前述の脆弱性にパッチを適用し、予期しないトンネルインターフェースの有無を監査することが求められます。また、ネットワークの可視性とセグメンテーションの確保、厳格なアクセス制御の実施、エンドポイントおよびアプリケーション監視の強化も優先すべき対策として挙げられています。
