中国のサイバースパイがロシアのITサービスプロバイダーに密かに侵入したことが、研究者によって明らかにされました。これは、北京がデジタルの視線をモスクワに向けた珍しい例だとされています。
SymantecのThreat Hunter Teamのセキュリティ専門家は、中国のAPTグループ「Jewelbug」(REF7707、CL-STA-0049、Earth Aluxとしても追跡)によるロシアのITサービス企業への侵入を報告しており、国家に連携するサイバースパイ活動の闇の世界における驚くべき展開となっています。
これまで、中国とロシアのサイバーアクターは互いに争うことを避けてきました。しかし、この隠密な侵害は、中国のオペレーターが今やロシアのインフラ、あるいは少なくともそのサプライチェーンを情報収集のために探る意思があることを示唆しています。
Symantecによると、この侵入は2025年初頭から5月まで続き、攻撃者に被害者ネットワーク内のビルドサーバー、コードリポジトリ、その他の機密インフラへの数か月間にわたる未検知のアクセスを許しました。実質的に、Jewelbugはプロバイダーの顧客に対してソフトウェアサプライチェーン攻撃を仕掛ける態勢を整えていたことになり、これは「内側からドアを破る」典型的な手法で、ロシア企業のネットワーク全体に波及する可能性がありました。
攻撃者は身を隠すため、Microsoftのcdb.exeをリネームした「7zup.exe」を使用しました。これはJewelbugの過去の作戦でも見られた手法で、シェルコードの実行、DLLの生成、プロセスの乗っ取りが可能です。認証情報のダンプ、スケジュールタスクによる永続化、イベントログの消去もレパートリーに含まれており、データの持ち出しはYandex Cloud経由で行われました。これはロシア企業がブロックしたり疑問視したりする可能性が低く、攻撃者にとっては国内サイバーパリメータ内でのもっともらしい否認性を与えます。
「中国のAPTグループによるロシア組織の標的化は、中国拠点のアクターによる作戦においてロシアが排除されていないことを示している」と、Broadcom傘下のSymantecは述べています。
「ITサービスプロバイダーが、ロシア国内の顧客企業に対するソフトウェアサプライチェーン攻撃を目的として標的にされた可能性があるという点も注目に値します。これは、攻撃者が国内の多数の企業にアクセスできる可能性があり、サイバースパイ活動や妨害に利用できたことを意味します。」
これは北京がロシアのシステムに注目した唯一の事例ではありません。ニューヨーク・タイムズの調査によると、中国系のハッカーグループは2022年半ば以降、軍事機密を求めてロシアの国家・企業ネットワークに侵入してきました。ある事例では、「Sanyo」と呼ばれるグループがロシアのエンジニアリング企業を装い、原子力潜水艦に関するデータを抽出したとされています。また別のケースでは、攻撃者がロステックを調査し、衛星通信、レーダーシステム、電子戦に関する情報を探ったと報告されています。
この報告は、両国間の「無限の友情」という公のレトリックにもかかわらず、北京がロシアを切り離せない同盟国というより、搾取に値する豊富な情報資産と見なしている可能性を示唆しています。
並行して、Microsoft Graph APIとOneDriveをコマンド&コントロールインフラとして活用する新たなバックドアが南米の標的への攻撃で確認されています。このクラウドネイティブなC2チャネルへの移行は、Jewelbugがより秘匿性と高度化を追求していることを示し、従来型の悪意ある挙動の指標が少なくなっています。
ロシアの防御担当者や、ロシアのITインフラを供給・依存しているすべての人にとって、これは警告の一撃です。中国のサイバーエリートにとって手を出さない領域と見なされてきた分野でも、ルールが変わりつつあるのかもしれません。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/10/16/chinese_russian_cyber_espionage/
