UNC6384がWindowsの脆弱性を利用し欧州の外交機関を標的に

出典：Antonio Gil / Alamy Stock Photo

中国と関連のある脅威アクターUNC6384は、9月以降、ハンガリーとベルギーの欧州外交機関を標的としたサイバースパイ活動を展開しています。

このグループは、攻撃において重大なWindowsの脆弱性CVE-2025-9491の悪用を取り入れており、Arctic Wolfの研究者が「洗練されたソーシャルエンジニアリング」と呼ぶ手法も併用しています。

研究者によると、このグループは公に知られており、複数の国家支援アクターによって積極的に悪用されている脆弱性を進んで利用していることから、防御側の警戒が高まっていても成功できるという自信を持っていることが示唆されます。

攻撃の連鎖は、最初に悪意のあるLNKファイルを最終的に配信するURLを含むスピアフィッシングメールから始まります。これらのファイルは、欧州委員会の会議やNATO関連のワークショップ、外交イベントを装い、標的となる個人を誘い込むための本物らしい詳細が含まれています。

これらのファイルはWindowsの脆弱性を悪用し、難読化されたPowerShellコマンドを実行してマルウェアの連鎖を展開します。最終的には、PlugXリモートアクセス型トロイの木馬（RAT）が配布されます。

Arctic Wolfの研究者によると、このキャンペーンはイタリアやオランダなど欧州のより広範な外交コミュニティ、さらにセルビアの政府機関にも拡大しています。UNC6384は以前、東南アジアの外交官を標的にした活動も行っていました。

このグループはPlugXマルウェアの亜種展開を得意としており、研究者はこれを中国系脅威アクターの間で好まれるツールと見なしています。PlugXは2008年に初めて観測され、コマンド実行、永続化、キーロギングなど多様なリモートアクセス機能を持ちます。このマルウェアはDestroy RAT、SOGU、Kaba、Korplug、TIGERPLUGとも呼ばれ、検知回避のための解析妨害技術やデバッグ防止機能も備えています。

今年初め、米国司法省とFBIはPlugXマルウェアの削除を世界中の数千台のデバイスで完了しました。この作戦はMustang PandaやTwill Typhoonなどの脅威グループの活動を標的とし、これらのグループはマルウェアを使ってユーザーのデバイスに感染させ、情報を窃取していました。

現在、UNC6384が脆弱性の悪用やその他の手法を急速に取り入れ、グローバルに拡大し続けているため、ユーザーや組織は対策を講じる必要があります。こうした攻撃を防ぐため、研究者は特に政府や外交分野の組織に対し、レポートに記載されたコマンド＆コントロール（C2）インフラの確認・ブロック、エンドポイント環境での検索、セキュリティ意識向上トレーニングの継続を推奨しています。

もしこれらの脅威アクターが攻撃に成功した場合、「機密または重要文書の持ち出し、リアルタイムの政策議論や意思決定プロセスの監視、外交ネットワークやパートナーシステムへのアクセス資格情報の収集、外交カレンダーや出張計画の監視」といった長期的な影響につながる可能性がある、と研究者はレポートで述べています。