Proofpointの脅威研究者が火曜日に明らかにしたところによると、中国と関係のある攻撃者集団が米国およびカナダの大学のネットワークに侵入し、機密データを窃取するとともに、ウェブシェルやバックドアを通じて持続的なアクセス経路を確立していました。
スパイ活動を目的としたこの攻撃は物理学部・工学部を標的としており、国家安全保障との関連を持つ管理者や教授、あるいは天体物理学や素粒子物理学を研究する組織に照準を合わせていました。
Proofpointの主任脅威研究者であるGreg Lesnewich氏がCyberScoopに語ったところによると、同社が確認した被害大学は10校未満ですが、実際には数十校の大学が影響を受けている可能性があると推定しています。同社がこのキャンペーンを初めて確認したのは5月で、現在も活動が継続しているとみられています。
Lesnewich氏はさらに、「多くの被害組織はまだこの活動について把握していない可能性が高い」と付け加えました。
研究者らは今回の攻撃を、オープンソースのメールクライアントであるRoundcubeに存在する2件の重大な脆弱性に結びつけました。攻撃者はこれらを連鎖的に悪用し、認証情報を窃取して長期的なアクセスを確保していました。
Proofpointが「UNK_MassTraction」として追跡しているこの脅威クラスターは、CVE-2024-42009を悪用して被害者のブラウザ内でJavaScriptを実行させ、続いてCVE-2025-49113を悪用してメールサーバーへの足がかりを得ていました。
この攻撃チェーンの最初のエクスプロイトは、被害者がメールを開くだけで発動する仕組みになっており、攻撃者は初期アクセスを引き起こすため、内容が一般的な複数の誘導メールを送りつけていました。
Proofpointが今回のキャンペーンを中国系のクラスターによるものと断定した根拠は、複数の中国系脅威グループが使用していることで知られる秘匿ネットワークが使われていたこと、感染経路がVShellへとつながっていたこと、そしてフィッシングメール内に中国語の痕跡が残されていたことです。
研究者らは、攻撃者がなぜ大学を標的としたのか、また何を狙っていたのかについては、まだ結論を出していません。
「私たちが観測できているのは最初の受信メールによる試みのみであるため、何が窃取されたのかを示すデータは持ち合わせていない」とLesnewich氏は述べています。
一方で、工学分野への着目は中国の戦略的な取り組みと合致していると同氏は付け加えました。Googleの脅威ハンティングチームは最近、中国の国家支援を受けたスパイ集団が何年にもわたりシステムに潜伏し、学術、医療、軍事、サイバーセキュリティ、外交政策の各分野にまたがるデータを窃取していたケースを発見しています。
Lesnewich氏は次のように述べています。「中国と関係のある攻撃者は、これまで何年もの間、ルーターやVPNコンセントレーターといった別種のエッジデバイスを標的にし、さまざまなエクスプロイトを用いて標的ネットワークへの足がかりを築いてきましたが、そこでメールを配信手段として使うことはありませんでした。今回のキャンペーンはその構図を逆転させたものです。つまり、エンドユーザーではなくサーバーを標的に、認証情報を窃取するURLやマルウェアを配信するためにメールを使うのではなく、メールサーバー自体を侵害するエクスプロイトチェーンを配信するためにメールを利用しているのです」
翻訳元: https://cyberscoop.com/china-espionage-attacks-us-canada-universities-proofpoint/