中国と関連するサイバー脅威グループ「CL-STA-1062」が、過去1年間で台湾のWebホスティングインフラへの攻撃から東南アジアの重要インフラプロバイダーへの攻撃へとシフトし、実際に侵害に成功していることが、サイバーセキュリティ研究者らの調査で明らかになりました。
同グループは複数の国で電力・水道事業者のほか、地域各地の政府機関や軍事組織への侵害に成功しており、「TinyRCT」と名付けられた新たなバックドアツールを展開しています。セキュリティ企業パロアルトネットワークスの研究者らが先週公開したレポートで明らかになったもので、同社は東南アジアの組織を標的とした同グループの攻撃を10件以上調査したことを6月25日付の分析レポートで公表しています。
パロアルトネットワークスのソフトウェアエンジニアリング担当シニアバイスプレジデント、Yoni Allon氏によると、同グループはラテラルムーブメントを駆使して同一国内の複数の政府機関や関連組織を次々と標的にしています。
「このグループを他の類似した中国系APTグループよりも高い脅威とみなしている主な理由は、重要インフラプロバイダーへの侵害に実際に成功しているからです」とAllon氏は述べています。「ある事例では、同国内の水道事業者に対して脆弱性スキャンを実施しているのを確認しましたが、その被害者への侵害に成功したかどうかは判断できませんでした。」
中国は過去10年間で東南アジア地域へのサイバー攻撃を激化させています。研究者らはこれまでに、同地域の軍や政府のネットワークで2020年まで遡るサイバースパイ活動を検出しています。同時期に中国は純粋なスパイ活動から将来の紛争に備えた長期的な事前侵害計画へと戦略を転換しており、その動きはVolt Typhoonに関連した作戦にも表れています。
今回の一連の作戦は、パロアルトネットワークスのUnit 42研究者チームが「CL-STA-1062」と呼ぶ中国語圏のグループによるものです。このグループは、台湾の標的を攻撃したとしてCisco Talosの研究者らが検出した「UAT-7237」と同一の可能性が非常に高いとされています。パロアルトネットワークスはCL-STA-1062の攻撃を受けた国名を明かしていませんが、両グループが同一の脅威アクターであるという確信度は高いとしています。
シスコはこの記事に対するコメントを辞退しました。
TinyRCT:初めての詳細分析
大きな変化として、CL-STA-1062が「TinyRCT」と呼ばれる新たなバックドアツールを展開するようになっています。研究者らが2025年にこのインプラントを初めて検出した際、小型でステルス性が高く、フォレンジック証拠の削除を目的とした自己消滅メカニズムを含む解析対策機能を備えていると説明しています。このバックドアはシステムのユーザー監視を支援するとともに、シェル経由のリモート管理とコマンド実行、設定の更新、各種のシステムフィンガープリントとデータ窃取を可能にするよう設計されています。
「徹底的な分析の結果、このツールは既知のどのツールの派生物でもなく、中国系APTグループが使用する他のツールとのコード上の類似性も見られないという結論に至りました」とAllon氏は述べています。また、「サンドボックスや他の分析ツールを回避するために複数の解析対策手法が実装されており、検出の兆候や能動的な調査の動きがあれば、オペレーターは自己消滅コマンドを送信できます」と付け加えています。
TinyRCTは任意のコマンドを実行する軽量なC#製のリモートアクセス型トロイの木馬(RAT)であり、C2パースコードのコメントが簡体字中国語で記述されています。バックドアや他のコンポーネントは、一般的なシステムコンポーネントに似たファイル名を使用して発見を回避しています。TinyRCTは実際のVisual Studioテレメトリコンポーネントである「PerfWatson2.exe」を偽装しており、攻撃で使用される別のツール「SoftEther VPN」はVMwareの実行ファイルや拡張型検知・対応(XDR)エージェントに似せたバイナリ名に変更されています。
スパイグループか初期アクセスブローカーか
このグループがスパイ機構の一部として機能しているのか、初期侵入から情報窃取まで一貫して実行するグループなのかは不明だと、パロアルトネットワークスのUnit 42研究者らは指摘しています。ある被害者は何カ月もの間攻撃にさらされており、攻撃チェーンは初期アクセスから情報窃取に至るまで及び、同国内の別の政府機関へとピボットしていました。一方でAllon氏によると、アクセスを確立してローカル環境のフィンガープリントを取得した後に活動を停止したケースもあるといいます。
「電力関連のデータや、電力システムあるいはより広範な運用技術に関連するマルウェアの流出は確認されていません」とAllon氏は述べています。「この点が、CL-STA-1062が初期アクセスブローカーである可能性、つまり被害者の内部に足がかりを確立した上で別のグループへ引き渡す役割を担っているという低確信度の評価につながっています。」
Allon氏によると、今年に入ってからもパロアルトネットワークスの研究者らは継続的な活動を観測しており、ある事例では重要インフラの被害者に対して持続性確保のための追加ツールが展開されたとのことです。ただし全体的な活動レベルは低下しているとしています。
「2025年後半に見られたほどの新規侵害の件数は確認されていません」とAllon氏は述べています。観測される活動の減少はグループの活動水準の低下を示す可能性がある一方、検出回避能力の向上を意味する可能性もあります。
Allon氏はこう付け加えています。「グループの活動隠蔽能力が向上した結果かもしれません。」