中国のスパイ活動グループ「Ink Dragon」は、盗聴活動を欧州の政府ネットワークへと拡大し、侵害したサーバーを利用して将来の作戦に向けた不正な中継ノードを作り出している。
このキャンペーンは「数十人の被害者」を出していると、Check Point SoftwareのグループマネージャーであるEli Smadja氏がThe Registerに語った。被害には、欧州、アジア、アフリカにまたがる政府機関および通信関連組織が含まれる。
「影響を受けた組織の身元や具体的な国名は開示できませんが、当該アクターが2025年後半に中継ベースの作戦を開始し、その後、各中継からの被害範囲が時間とともに段階的に拡大していく様子を確認しました」とSmadja氏は述べた。
これらの攻撃は、Ink Dragonが設定不備のあるMicrosoft IISやSharePointサーバーなどのセキュリティ上の弱点を探ることから始まり、被害者の環境へのアクセスを得る。ゼロデイやその他の注目度の高い脆弱性を悪用するのではなく、この手口を用いることで攻撃者は目立ちにくくなり、発覚する可能性を下げられる。
その後、Ink Dragonは認証情報を収集し、既存のアカウントを使って標的に侵入する。こうした戦術により、通常のネットワークトラフィックに紛れ込みやすくなる。
「この段階は通常、ノイズが少なく、同一の認証情報や管理パターンを共有するインフラを通じて拡散します」と、Check Pointの研究者らは火曜日のブログで述べた。
Ink Dragonがドメインレベルのアクセス権を持つアカウントを見つけると、スパイは高価値システム全体にわたって長期的なアクセスを確立する作業に取りかかり、認証情報やその他の機微データを保存するバックドアやインプラントをインストールする。
Check Pointによれば、新たな標的や中継ノード活動に加え、サイバースパイはFinalDraftバックドアも更新し、一般的なMicrosoftクラウドの活動に紛れ込ませ、コマンド通信をメールボックスの下書き内に隠すようにしたという。
新バージョンでは、業務時間中にチェックインできるようにもなっており(時間外の不要な注目を避けるため)、最小限のノイズで大容量ファイルをより効率的に転送できる。
さらに、侵害したサーバー上で長期的なアクセスを確立すると、攻撃グループは被害者のインフラを乗っ取り、インターネットに公開されたサーバーにカスタマイズしたIISベースのモジュールを展開して、不正な移動のための中継ポイントを作り出す。
「これらのサーバーは、異なる被害者間でコマンドとデータを転送し、攻撃トラフィックの真の発信元を隠す通信メッシュを形成します」とCheck Point Researchは述べた。
脅威ハンターによるInk Dragonの調査では、別の中国関連スパイ活動グループRudePandaによる同様のステルス活動も明らかになり、同グループが「同じ政府ネットワークのいくつかにひそかに侵入していた」と彼らは記している。
両グループに関連はないものの、同じサーバー脆弱性を悪用して同一のIT環境へアクセスしていた。これは、北京支援のグループだけでなく、ロシアの部隊を含む、他の政府支援サイバー部隊における戦術の変化も示している。
月曜日のセキュリティ警告で、Amazonは少なくとも2021年から継続している同様の中継ノード活動について警鐘を鳴らした。
クラウド大手はこのキャンペーンをロシア連邦軍参謀本部情報総局(GRU)によるものだとし、主に西側諸国のエネルギー、通信、テクノロジー提供事業者を標的にして、認証情報を窃取し、AWS上でホストされる設定不備のデバイスを侵害することで、クレムリンのスパイに機微なネットワークへの持続的なアクセスを与えていたと述べた。 ®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/12/16/chinas_ink_dragon_hides_out/
