CL-STA-1062 — 東南アジアを標的にしたサイバースパイ活動

静かな侵入という戦略

複数年にわたる諜報活動が、単一の壊滅的な侵害によって明るみに出ることはほとんどありません。その実態は、気づかれないような静かな侵入の連鎖を通じて徐々に浮かび上がります。そうした経緯から、Unit 42の研究者たちは、このような一連の活動をCL-STA-1062と呼ばれる集団と関連付けました。この脅威アクターは2025年を通じ、東南アジア各国の政府機関や重要インフラを積極的に攻撃し続けました。

活動の歴史と主要な標的

専門家によると、このグループの悪意ある活動は少なくとも2022年3月まで遡ることができます。アナリストたちはCL-STA-1062を、悪名高い脅威クラスター「UAT-7237」と高い確度で結びつけています。このクラスターはかつて、台湾のウェブホスティングインフラを標的としていたことが確認されています。今回の攻撃では、国家機関を主要な標的とし、さらに大手エネルギー企業や主要な国営企業にも被害が及びました。

主権を持つ政府フレームワークへの侵入

2025年9月、攻撃者たちは同地域内のある国家の政府システムへの侵入に成功しました。その後、ウェブシェルを展開し、侵害されたサーバー上で直接リモートコマンドを実行できる足がかりを構築しました。さらに攻撃者たちはMSSQLデータベースから機密情報を慎重に窃取しました。同一国内では、別の国家機関に対しても広範なネットワーク偵察活動を実施しています。特に大胆な事例では、ウェブサーバーのソースコードが格納されたディレクトリ全体を密かに持ち出す準備が行われていました。

エネルギーセクターへの集中攻撃

2025年10月から12月にかけて、調査担当者たちは東南アジアの少なくとも10の組織が侵害された可能性を確認しています。この集団はとりわけ重要なエネルギーセクターに強い関心を向けており、ある重要インフラネットワーク内での悪意ある活動は数か月にわたって継続しました。この長期的な作戦は、最初の侵入から最終的なデータ窃取に至るまで、攻撃ライフサイクルの全段階を網羅するものでした。その後の調査では、同一領域内の2つの国営エネルギー組織が相次いで侵害されていたことも明らかになりました。

攻撃ツールと回避手法

CL-STA-1062は、市販のエクスプロイトと独自開発のマルウェアを巧みに組み合わせて使用しました。脆弱なウェブアプリケーションへの侵入後、グループは常套手段としてASPXウェブシェルを実行しました。続いてシステムおよびネットワークに関する重要な情報を収集し、被害者のインフラ内での横展開(ラテラルムーブメント)の経路を執拗に探索しました。最終的に収集した情報は、秘密裏に運営されるコマンドサーバーへ送信されました。トンネリングおよびリモート管理には、SoftEther VPN、VNT、yuzeが使用され、これらの悪意あるファイルはVMwareコンポーネントや正規のXDRエージェントを装って偽装されていました。

新種バックドア「TinyRCT」

今回のキャンペーンの新たな要素として、TinyRCTが挙げられます。これはC#で開発された、これまで記録されていなかった新種のWindowsバックドアです。このマルウェアは任意のコマンドを効率的に実行し、内部ファイルを密かに閲覧する機能を持っています。また、不正なスクリーンショットを撮影して盗んだデータをコマンドサーバーに送信する機能に加え、自身の活動痕跡を消去する能力も備えています。TinyRCTは実行前に、自身の実行ファイルが%LOCALAPPDATA%ディレクトリ内に存在するかどうかを確認します。一方、関連するローダーは指定されたDownloadsフォルダからの起動であるかを同時にチェックします。これらの高度な回避チェック機能により、セキュリティサンドボックス内に隔離された場合、マルウェアは自動的に実行を終了するようになっています。

初期感染ベクター

初期感染の経路は、chrome_setup.zipという名の欺瞞的なアーカイブファイルに直接起因しています。このファイルの内部には、正規の実行ファイルと悪意あるDLLが潜んでいました。インストーラーを起動すると、環境変数が隣接する設定ファイルを読み込み、その結果として悪意あるDLLが高い信頼性を持つプロセスに直接ロードされました。その後、ローダーはTinyRCTのペイロードをダウンロードし、PerfWatson2.exeという名前に偽装して保存しました。最終的には「GoogleUpdaterTaskSystem」と名付けられたスケジュールタスクが作成され、ユーザーのログイン時に悪意あるファイルが自動実行される持続的な仕組みが確立されました。

緩和策と防御戦略

こうしたリスクを軽減するために、専門家は信頼されていないファイルの実行をすべてブロックすることを強く推奨しています。管理者は厳格な動作ルールと堅牢な実行制限を実装することで、これを実現する必要があります。また、組織はこのキャンペーンに関連する既知のドメインやIPアドレスを注意深く監視することも求められます。さらにセキュリティチームは、TinyRCT、SoftEther VPN、VNTの特徴的なデジタル署名、隠蔽されたウェブシェル、不審な暗号化RARアーカイブを積極的にハンティングしなければなりません。

翻訳元: https://meterpreter.org/cl-sta-1062-cyber-espionage/

ソース: meterpreter.org