中国と関連が疑われる脅威アクターが、Anthropic社のClaude CodeとDeepSeek-v4-proを、政府機関、台湾の産業界、金融サービス組織を標的とする現在進行中の侵入キャンペーンに組み込んでいたことが分かりました。
NetworkSecurity
TencShellは2026年5月にCato CTRLによって初めて確認され、中国を拠点とすると推定される活動との関連性が指摘されていました。
ポート111111111111で共有されるHTTPヘッダーのフィンガープリントから、研究者らはVMISS、MEGA-II IDC、CTG Server、Antbox Networksにまたがる、香港でホストされた131313台のサーバーを特定しました。
そのうちの1台、112.213.124[.]132112.213.124[.]132112.213.124[.]132は、認証なしでアクセス可能なディレクトリを公開しており、2,4312,4312,431個のファイルと808080個のサブディレクトリが含まれていました。その中には被害者のソースコード、フィッシングキット、ウェブシェル、エクスプロイトスクリプト、スキャン結果、マルウェアのペイロード、簡体字中国語で書かれたオペレーターのログなどが含まれていました。
このアクセス可能な状態にあったホストは、統合された侵入プラットフォームとして稼働していました。ポート500350035003ではAsset Reconnaissance Lighthouse(ARL)を、ポート300030003000ではコードスキャンソフトウェアDeepAuditを、ポート808480848084ではコマンド&コントロール(C2)基盤のVshellを、そしてポート888888888888ではオープンディレクトリをそれぞれ稼働させていました。
これらのツールは一般に公開されており本来はセキュリティテストを目的とした正当なものですが、盗まれたデータや攻撃ツールと同じ場所に置かれていたことから、実際の悪意ある活動と関連付けられました。

3台のサーバーはSSHホストキーとARLのデフォルトTLS証明書を共有しており、維持管理された冗長性のあるクラスターであることを示していました。オペレーターは6月181818日から191919日にかけて証明書を再発行しており、観測された侵入活動の後もこの基盤が継続的に運用管理されていたことがうかがえます。
研究者らはこのクラスターからLinuxマルウェアも回収しました。HSEWH-Urと名付けられた、これまで報告のなかったARMバイナリは、ポート408140814081へのWebSocket通信を使用しており、QQや企業向けメッセージングの認証情報、クラウドサービスの鍵、ファイルを窃取する機能を備えていました。
Hunt.ioの研究者らによると、このキャンペーンは2026年6月に発見されました。研究者らが、オープンソースのRshellフレームワークから派生したGoベースのインプラントであるTencShellに関連するC2基盤を端緒に調査を進めた結果、明らかになったものです。
武器化されたClaude CodeとDeepSeek
関連するARM版とx86版は同一の808080バイトの暗号鍵を共有しており、共通のコードベースを持つことを示しています。また2台のサーバーでは、これまで報告のなかった「Gshell C2」というフレームワークを識別する証明書も見つかっており、TencShellと並行して使用される第2のC2プラットフォームが存在する可能性を示唆しています。
最も注目すべき発見は、大規模言語モデル(LLM)が実際の作戦で使用されていたことです。回収されたログからは、モデルを役割ごとに使い分けるワークフローが明らかになりました。Claude Codeのバージョン2.1.1652.1.1652.1.165は、コマンドの実行、Bashコマンドの操作、セッションの継続、並列タスクの処理、フィッシングページの作成を担っていました。

一方でDeepSeek-v4-proは、推論、エクスプロイトの改変、スクリプト生成、攻撃ロジックの立案を担っていたと見られています。
これは、AIが単なる文書作成の補助として使われていたのではなく、侵入活動そのものの作戦サイクルに組み込まれていたことを示しています。
この手口は、Anthropicが2025年11月に公表した、中国と関連する諜報活動に関する報告と酷似しています。この活動ではClaude Codeを使ってアクセスの自動化を行い、大規模な攻撃活動を展開していました。
今回のキャンペーンでは、アフガニスタンとタイの政府システムへの侵害が確認されています。
タイでは、オペレーターが政府の管理システムに存在するSQLインジェクションの脆弱性を悪用して認証を回避し、GIFポリグロット形式のウェブシェルを設置。職員の氏名、国民識別番号、役職が含まれるデータベースへアクセスしていました。
Exploitmitigation solutions
アフガニスタンでは、攻撃者がLaravel 5.8.385.8.385.8.38を使用した政府アプリケーションからソースコードと認証情報を窃取し、独自のデシリアライゼーションエクスプロイトを開発してリモートコード実行(RCE)を実現しました。

侵害されたアプリケーションには市民からの苦情データが含まれており、オペレーターは公共の不満や行政サービスの状況、申し立てに記載された個人に関する情報を把握できた可能性があります。
このグループは、台湾のサプライチェーン、通信、半導体、ドローン、製造業の各組織も標的にしていました。
ある化学企業はSQLインジェクションによって侵害されました。また、ある通信・エッジデバイスメーカーは、公開されていたJavaScriptファイル内に露出していたSupabaseの鍵とAzure Logic AppのSASトークンを攻撃者に発見され、侵害を受けました。
米国での活動は、NASAのホストに対する偵察と、ワシントンD.C.議会およびペンシルベニア州デラウェア郡になりすました準備段階のフィッシングページ作成にとどまっていました。
これらのクローンは認証情報の窃取に主眼を置いたものの未完成であり、フィッシング作戦が開発途上だった可能性を示しています。
中国との関連を示す複数の痕跡、維持管理された香港の基盤、特殊なマルウェア、被害者ごとに最適化されたエクスプロイト、そしてエージェント型AIツールの組み合わせは、国家と結びついたオペレーターがLLMを実戦運用に組み込み、侵入活動の高速化・大規模化を進めている実態を浮き彫りにしています。
侵害指標(IoC)
| Filename | Algorithm | Hash | Data |
|---|---|---|---|
| HSEWH-Ur | SHA-256 | 90b7b2c6f3d05234dc55678243039d7e51f0d54190239e5234a0005533337dc8 | Retrieved from 112.213.124[.]132:1111 |
| 8eA-GlbK | SHA-256 | 90b7b2c6f3d05234dc55678243039d7e51f0d54190239e5234a0005533337dc8 | Retrieved from 112.213.124[.]159:1111 |
| r4l3DqLA | SHA-256 | 90b7b2c6f3d05234dc55678243039d7e51f0d54190239e5234a0005533337dc8 | Retrieved from 112.213.124[.]163:1111 |
| Ar70qICi | SHA-256 | 643de2a1cf9148b896efecf560c9476fa56118ec477c4e15eb5c2da4b318061f | Retrieved from 38.55.105[.]143:8088 |
注記: IPアドレスおよびドメインは、誤ってアクセス・リンク化されるのを防ぐため、意図的にディフェング処理(例: [.])を施しています。再度有効な形式に戻す作業は、MISP、VirusTotal、SIEMなど管理された脅威インテリジェンス基盤内でのみ行ってください。
2019年当時のSOC向けに書かれたSLAをそのまま受け入れるのはもうやめませんか — 2026年版AI SLA ベンダーチェックリストはこちら – 無料AI SOC SLAガイドをダウンロード
SecurityProducts & Services
翻訳元: https://gbhackers.com/claude-code-and-deepseek-weaponized/