中国語話者のハッカー集団、TinyRCTバックドアで重要エネルギーインフラを標的に

2025年を通じて、東南アジアの政府機関および重要エネルギーインフラを狙った、高度に組織化されたサイバースパイキャンペーンが展開されました。

セキュリティ研究者は、この活動をCL-STA-1062と追跡される中国語話者の脅威アクターによるものと特定しました。このグループは、以前UAT-7237として確認されていた組織です。

同グループはこれまで台湾のウェブホスティングインフラを主な標的としてきましたが、今回の一連の作戦は、国有エネルギーセクターや政府ネットワークへという戦略的な方向転換を如実に示しています。

攻撃者たちは現代的なセキュリティ防御を回避するため、オープンソースツールと、新たに発見されたカスタム製のリモートアクセス型トロイの木馬(RAT)「TinyRCT」を組み合わせた強力な手法を駆使しています。

侵入の起点となるのは、脆弱なウェブアプリケーションを悪用したASPXウェブシェルの展開です。

このウェブシェルは強固な足がかりとして機能し、脅威アクターが任意のコマンドを実行したり、追加のペイロードを投下したり、ネットワーク内の詳細な偵察活動を行ったりすることを可能にします。

2025年9月に発生した注目すべき事例では、攻撃者が政府機関への侵入に成功し、ウェブサーバーのソースコードが格納されたディレクトリ全体をステージングした上で、MSSQLサーバーから重要なデータベース情報を積極的に窃取しました。

ネットワーク内部に侵入すると、このグループはアクセスを維持しながら横断的に移動するために、偽装したオープンソースソフトウェアを活用する傾向が顕著に見られます。

コマンド&コントロール(C2)通信やデータ窃取にはトンネリングツールを多用し、検出を逃れるために巧みに隠蔽しています。彼らのツールキットに頻繁に登場するツールには、以下のものが含まれます。

2025年10月から12月にかけて、この柔軟な手法によって同グループは地域内の少なくとも10の組織への侵害を成功させています。

攻撃者は国有の重要エネルギーインフラに対して脆弱性のスキャンを実施し、その直後に攻撃者が管理するサーバーから悪意あるペイロードをダウンロードする行動が確認されています。

今回のキャンペーンで最も重要な技術的発見は、Windows环境を標的とした軽量なC#バックドアであるTinyRCTです。これは従来ドキュメント化されていなかった未知のマルウェアです。

攻撃者はAppDomainManagerインジェクションという巧妙な手法を用いてこのカスタムマルウェアを展開します。被害者をGoogleChromeインストーラーに偽装した悪意あるアーカイブファイルをダウンロードするよう誘導します。

Palo Alto Networksの研究者によると、TinyRCTは実行時に厳格な環境チェックを実施します。初期ローダーはユーザーのDownloadsフォルダから起動していることを明示的に検証し、メインペイロードはLocal AppDataディレクトリを確認します。

サンドボックス環境やセキュリティアナリストのデスクトップを検知した場合、マルウェアは即座に自己終了し、解析を回避します。

C2サーバーへの登録が完了すると、TinyRCTは持続的なビーコニングチャネルを確立します。10秒おきにサーバーをポーリングし、AES-128で暗号化されたトラフィックをやり取りすることで、活動の痕跡を完全に隠蔽します。

注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的にデファング処理(例:[.])が施されています。再ファング化はMISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。

翻訳元: https://cyberpress.org/tinyrct-targets-energy-infrastructure/

ソース: cyberpress.org