中国系ハッカーとみられる集団、Claude CodeとDeepSeekを悪用し3カ国の政府システムに侵入か

セキュリティ研究者らが、アフガニスタン、タイ、台湾の政府機関を標的とした侵入活動において、Claude Codeが悪用された疑いのある、活発なサイバースパイ活動キャンペーンを発見しました。DeepSeek-v4-proも運用コンポーネントとして使用されていたとみられています。

このキャンペーンは2026年6月、研究者らがTencShellに関連するインフラを起点に調査を進めたことで発覚しました。TencShellはGo言語で書かれたインプラントで、以前からCato CTRLによって中国系とみられる活動に関連付けられていたものです。

サーバー112.213.124[.]132で公開状態にあったディレクトリには、被害者のソースコード、攻撃ツール、フィッシングテンプレート、オペレーターのログ、マルウェアのサンプル、さらには簡体字中国語で書かれたメモが含まれていたとされています。

研究者らによると、回収された資料は攻撃者が複数のモデルを組み合わせたワークフローを用いていたことを示しています。DeepSeek-v4-proは、攻撃のロジック構築、エクスプロイトの改変、スクリプト生成を担っていたとみられます。

一方でClaude Codeは、コマンドの実行、持続的セッションの維持、並列タスクの管理、フィッシングページの構築に使用されていました。

これは、中国系とみられるオペレーターが実際のサイバー作戦でClaude Codeを使用した事例としては2件目の報告となります。1件目は、Anthropicが2025年11月に開示した自動化された侵入活動に関するものでした。

調査は、既知のTencShellのコマンド&コントロールインフラのポート111111111111で発見されたHTTPヘッダーのフィンガープリントから始まりました。

HuntSQLによるクエリで、同一のフィンガープリントを共有する131313台のサーバーが特定されました。その大半は香港でホスティングされており、VMISS Inc.、MEGA-II IDC、CTG Server Limited、Antbox Networks Limitedといった事業者が利用されています。

サーバー112.213.124[.]132では複数のサービスが外部に露出していました。具体的には、ポート222222のSSH、ポート111111111111のマルウェアダウンロードサービス、ポート300030003000のDeepAudit、ポート500350035003のARL偵察ツール、ポート808480848084のVshellコマンド&コントロールソフトウェア、そしてポート888888888888で公開されていたHTTPディレクトリです。

ARL、Vshell、DeepAuditはいずれも正規のオープンソースツールですが、露出していたディレクトリの内容から、これらが不正な活動に関連付けられていたことが明らかになったとされています。

このディレクトリには2,431個のファイルと80個のサブディレクトリが含まれており、PHPおよびJSPのウェブシェル、データベースのダンプ、独自に作成されたエクスプロイトスクリプト、複製された政府機関のログインページ、攻撃活動の記録などが確認されています。

このクラスターに属する3台のサーバーは、SSHホストキーとARLのデフォルトTLS証明書を共有しており、関連するインフラとして管理されていたことがうかがえます。

これらのシステムは、ARM系システム向けにコンパイルされたLinuxマルウェアのサンプルも配布していました。このバイナリは、クラウドのアクセスキー、企業向けプラットフォームの認証情報、Tencent QQ/IMのデータを窃取できるほか、ファイルのアップロードとダウンロードにも対応していました。

研究者らはまた、「Gshell」と名付けられた可能性のある第2のコマンド&コントロールフレームワークも特定しました。2台のサーバーは、TencShellとGshell双方のクラスターに重複して存在しており、hunt.ioが指摘しているように、オペレーターが複数のC2フレームワークを併用している可能性を示唆しています。

注記: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的に無効化表記(例: [.])としています。再有効化は、MISP、VirusTotal、SIEMなど管理された脅威インテリジェンス基盤の中でのみ行ってください。

翻訳元: https://cyberpress.org/ai-powered-hackers-breach-governments/

ソース: cyberpress.org