ESETによると、ロシア支援のハッカーグループSandwormは、2025年第2四半期および第3四半期にウクライナでデータワイパーマルウェアを展開しました。
スロバキアを拠点とするサイバーセキュリティ企業は、APTアクティビティレポート Q2 2025–Q3 2025において、2025年4月から9月までの世界中の高度持続的脅威(APT)グループの活動概要を提供しました。
11月6日に公開されたこのレポートでは、Sandwormがウクライナの組織に対してZerolotやStingなどのデータワイパーを展開したことが明らかになりました。
標的は政府機関、エネルギーや物流業界、穀物セクターの企業など多岐にわたります。
SandwormはAPT44、Telebots、Voodoo Bear、Iridium、Seashell Blizzard、Iron Vikingとも呼ばれ、複数のサイバーセキュリティ企業や政府機関によってロシア軍参謀本部情報総局(GRU)のMUN 74455部隊と関連付けられています。
ESETは、このグループが新たなワイパーを展開した主な目的はウクライナ経済の弱体化であると評価しています。
ロシア系グループ、スピアフィッシングとバックドアでサイバースパイ活動
ESETのレポートは、他のロシア系APTグループもウクライナやウクライナと戦略的関係を持つ国々に引き続き注力しつつ、欧州の組織にも活動を拡大していることを指摘しています。
Sandwormの目的がウクライナの組織の妨害である一方、他のロシアの国家系グループは、スピアフィッシングキャンペーンとバックドアインプラントを組み合わせてサイバースパイ活動を追求していました。
Gamaredonはウクライナを標的とする最も活発なAPTグループであり、報告期間中、その活動の強度と頻度が顕著に増加しました。
「この活動の急増は、ロシア系APTグループ間の協力という珍しい事例と一致しており、Gamaredonは選択的にTurlaのバックドアの1つを展開しました。Gamaredonのツールセットは、この協力によっても促進された可能性があり、新たなファイルスティーラーやトンネリングサービスの導入など、進化を続けています」とESETの研究者は記しています。
特筆すべきは、ESETが、別のロシア系脅威アクターであるInedibleOchotenseが、サイバーセキュリティ企業になりすましたスピアフィッシングキャンペーンを実施したと報告したことです。
「このキャンペーンでは、トロイの木馬化されたESETインストーラーを配布するメールやSignalメッセージが含まれており、正規のESET製品とともにKalamburバックドアがダウンロードされる仕組みになっていました」とレポートは述べています。
一部のロシア系グループは、ウクライナ以外にも標的を拡大しました。
例えば、最も活発なロシア系APTグループの1つであるRomComは、WinRARのゼロデイ脆弱性を悪用し、悪意のあるDLLを展開してさまざまなバックドアを配布し、EUやカナダの金融、製造、防衛、物流分野に焦点を当てていました。
世界のAPT活動の概要
ESETのレポートはまた、中国系APTが地政学的スパイ活動に引き続き注力しており、ラテンアメリカ(FamousSparrow)、東南アジア、米国および欧州(Mustang Panda)、台湾の医療(Flax Typhoon)、中央アジアのエネルギー分野(Speccom)を標的としていることを強調しました。
一方、イラン系ハッカーグループMuddyWaterは、標的組織内の侵害された受信箱から悪意のあるメールを送信するなど、内部スピアフィッシング戦術を強化し、BladedFelineはインフラを更新、GalaxyGatoはアップグレードされたバックドアやDLLハイジャックによる認証情報窃取を展開しました。
最後に、一部の北朝鮮系APTはウズベキスタンで暗号資産窃盗やスパイ活動を拡大し、同国の複数のグループ(DeceptiveDevelopment、Lazarus、Kimsuky、Konni)は、収益や地政学的利益を目的に韓国の外交官や学者を標的にしていることが確認されました。
翻訳元: https://www.infosecurity-magazine.com/news/russian-sandworm-new-wiper-ukraine/
