中国と連携するUTA0388、世界的なフィッシングキャンペーンでAIツールを使用

北米、アジア、欧州の組織を標的とした一連のスピアフィッシング作戦が、UTA0388として知られる中国と連携するグループに関連付けられた。

2025年6月から8月にかけてVolexityが最初に検知したこれらのキャンペーンでは、架空の機関に所属する上級研究者になりすました、標的に合わせたメッセージを用い、受信者をだましてマルウェアを仕込んだアーカイブファイルをダウンロードさせた。

新たな手法とマルウェアの進化

Volexityは、UTA0388が単純なフィッシングリンクから「関係構築型フィッシング」へと移行したことを特定した。これは、攻撃者が悪意あるファイルを送付する前に、標的と長期にわたる会話を行う手法である。

これらのキャンペーンで配布されたマルウェア（Volexityが「GOVERSHELL」として追跡）は、5つの進化する亜種で確認され、リモートコマンドの実行、システムデータの収集、感染システム上での永続化が可能だった。

各攻撃では通常、正規に見える実行ファイルと、隠された悪意あるダイナミックリンクライブラリ（DLL）を含むアーカイブファイルが用いられた。開くと、DLLは検索順序ハイジャックにより読み込まれ、攻撃者にリモートアクセスを付与する。

GOVERSHELLマルウェアは、基本的なコマンドラインシェルから、暗号化されたWebSocketおよびHTTPSの通信チャネルを用いる高度な亜種へと進展していることが示された。

日曜日に公開されたVolexityのレポートは、UTA0388が大規模言語モデル（LLM）を用いてメールを作成し、さらにはマルウェア開発の支援にも利用したという強力な証拠を提示している。

指標としては、架空の機関、現実離れした人物像、複数言語にまたがる言語的な不整合が挙げられる。フィッシングメールの中には、1通のメッセージ内で英語、中国語（普通話）、ドイツ語を混在させたものもあった。

マルウェアのアーカイブに含まれる不審なファイル（ポルノ動画、意味不明なテキスト、仏教の詠唱など）も、自動化またはLLM生成の出力を示唆している。

「このキャンペーンは一貫して首尾一貫性を欠いており、文脈を理解しない自動化をより強く示唆している」とVolexityは説明した。

技術分析により、GOVERSHELLの開発環境が簡体字中国語を使用するシステムに結び付けられ、UTA0388が中国の利益のために活動している、特にアジアの地政学的問題に関連しているという評価を補強した。

同グループのインフラは、Proofpointが「UNK_DropPitch」という名称で追跡していた過去のキャンペーンのものと類似しており、そこでは「HealthKick」として知られる関連マルウェアが配布されていた。

Volexityは結論として、LLMの使用を証明する単一のアーティファクトはないものの、総合的な証拠はそれを強く支持すると述べている。

「UTA0388がLLM駆動のキャンペーンに踏み込んだことが成功だったかどうかを言えるだけの十分なデータはない」と同社は説明した。

「しかし、（時に誤った言語であっても）標的に合わせたフィッシング出力の量は、標的へのアクセス獲得に成功する機会を相当数生み出すだろう。」