脅威ハンターは、UnsolicitedBookerと呼ばれる中国に関連する脅威アクターの戦術を明らかにしました。このアクターは、サウジアラビアの未公開の国際組織を標的にし、以前は文書化されていなかったMarsSnakeというバックドアを使用しました。
2023年3月にこのハッカーグループの侵入を初めて発見し、1年後に再び発見したESETは、この活動がフライトチケットを餌にしたスピアフィッシングメールを利用して、関心のあるターゲットに侵入していると述べました。
「UnsolicitedBookerは、一般的にフライトチケットをデコイとしてスピアフィッシングメールを送信し、そのターゲットにはアジア、アフリカ、中東の政府機関が含まれます」と、同社は2024年10月から2025年3月までの期間を対象とした最新のAPT活動報告書で述べています。
この脅威アクターによる攻撃は、Chinoxy、DeedRAT、Poison Ivy、BeRATのようなバックドアの使用を特徴としており、これらは中国のハッカーグループによって広く使用されています。
UnsolicitedBookerは、Space Piratesとして追跡されるクラスターと、サウジアラビアのイスラム系非営利団体に対してZardoorというコードネームのバックドアを展開した未特定の脅威活動クラスターと重なると評価されています。
2025年1月にスロバキアのサイバーセキュリティ会社によって発見された最新のキャンペーンでは、サウジアラビアの同じ組織に対してSaudia Airlinesからのフライト予約に関するフィッシングメールを送信しました。
「メールにはMicrosoft Word文書が添付されており、デコイの内容は[…]修正されたフライトチケットですが、これはオンラインで利用可能なPDFに基づいており、学術研究を共有するためのプラットフォームであるAcademiaウェブサイトでアップロードされたものです」とESETは述べています。
Word文書が起動されると、VBAマクロの実行がトリガーされ、ファイルシステムに実行可能ファイル(「smssdrvhost.exe」)を書き込み、これがMarsSnakeのローダーとして機能し、リモートサーバー(「contact.decenttoy[.]top」)との通信を確立します。
「2023年、2024年、2025年にこの組織を妥協させようとする複数の試みは、UnsolicitedBookerがこの特定のターゲットに強い関心を持っていることを示しています」とESETは述べています。
この開示は、PerplexedGoblin(別名APT31)として追跡される別の中国の脅威アクターが、2024年12月に中央ヨーロッパの政府機関を標的にしてNanoSlateと呼ばれるスパイバックドアを展開したことを受けて行われました。
ESETはまた、DigitalRecyclersが欧州連合の政府機関に対する攻撃を続けていることを特定し、KMA VPN運用リレーボックス(ORB)ネットワークを使用してネットワークトラフィックを隠蔽し、RClient、HydroRShell、GiftBoxバックドアを展開していると述べました。
DigitalRecyclersは2021年に初めて同社によって検出されましたが、少なくとも2018年から活動していると考えられています。
「Ke3changとBackdoorDiplomacyに関連している可能性が高く、DigitalRecyclersはAPT15ギャラクシー内で活動しています」とESETは述べています。「彼らはProject KMAスティーラーのバリアントであるRClientインプラントを展開します。2023年9月に、グループは新しいバックドアであるHydroRShellを導入し、GoogleのProtobufとMbed TLSをC&C通信に使用しています。」
翻訳元: https://thehackernews.com/2025/05/chinese-hackers-deploy-marssnake.html