Check Point Researchの研究者は、中国のAPTグループInk Dragonによって実施された大規模な諜報活動を発見した。この作戦では、侵害された政府サーバーを分散型のコマンド/トラフィック中継ネットワークへと転用し、事実上、被害者自身を指揮統制(C2)インフラの構成要素へと変えている。
Ink DragonはEarth Alux、Jewelbug、REF7707、CL-STA-0049としても知られ、少なくとも2023年初頭から活動している。当初は東南アジアおよび南米の政府、通信、公共部門の組織に焦点を当てていたが、ここ数か月で欧州の政府機関に対する作戦を大幅にエスカレートさせた。同グループのキャンペーンは、高度なエンジニアリング、規律ある運用上の手口、正規のシステムコンポーネントの広範な悪用を特徴とし、攻撃を長期間にわたり未検知のまま継続させている。
Ink Dragonの決定的な特徴は、侵害したサーバーを単なる諜報目的にとどめず、世界規模の分散リレーネットワークに組み込む戦略にある。これを実現するため、攻撃者はShadowPad Listenerとして知られる専用のIISモジュールを展開し、Webサーバーに直接統合してHTTP(S)トラフィックを秘匿的に傍受する。感染した各サーバーは、コマンドを受信し、他の被害者へ転送し、接続をプロキシするノードとなり、専用のC2サーバーに依存することなく敵対者の制御インフラを拡張する。
初期侵入は、古くから知られているにもかかわらず依然として広く存在するIISおよびSharePointの誤設定を通じて達成されることが最も多い。Ink Dragonは、予測可能または漏えいしたmachineKey値を悪用してASP.NET ViewStateのデシリアライズ脆弱性を積極的に突き、任意コード実行を可能にする。複数の侵害では、オンプレミスのMicrosoft SharePoint環境におけるToolShell脆弱性チェーンも利用しており、これは未認証のリモートコード実行とWebシェルの設置を可能にする。2025年夏には、脆弱なSharePointサーバーに対する大規模スキャンを実施しており、エクスプロイトコードへの早期アクセスを示唆している。
足場を確立すると、攻撃者は迅速に横展開へ移行する。サービスアカウントの認証情報はIISの設定やワーカープロセスから収集され、これらの認証情報は組織内で再利用されていることが多い。これにより、Webプロセス上での実行からサーバーの完全制御へと権限を引き上げ、続いて隣接ホストに対して認証できるようになる。横移動はRDPトンネリングとShadowPadの組み込み機能に大きく依存し、悪性活動は正当な管理セッションに見せかけて慎重に隠蔽される。
永続化は、スケジュールタスクとSYSTEMレベルのサービスのインストールによって実現される。ペイロードはconhost.exeのようなWindowsシステムコンポーネントに偽装され、著名ベンダーの有効なデジタル証明書で署名されていることも多く、検知される可能性を大幅に低下させる。権限昇格では、Potatoファミリーの手法を含むローカル脆弱性の悪用と、攻撃的な認証情報収集を組み合わせる。カスタムツールによりLSASSをダンプし、NTLMハッシュやKerberosアーティファクトを抽出し、放置された管理者RDPセッションを探索して、そこからドメイン管理者トークンを回収する。
同グループは外向き通信に特に注意を払っている。侵害ホストでは、正規のWindows Defenderコンポーネントを装って、無制限の外向きトラフィックを許可するローカルファイアウォールルールが作成される。これにより被害者サーバーは、データ流出とコマンド中継に適したオープンプロキシノードへと実質的に変換される。
作戦全体の中核にあるのがShadowPad IIS Listener Moduleである。HttpAddUrl APIを介して秘匿的なURLハンドラーを登録し、「関連する」リクエストのみを選択的に傍受し、それ以外のトラフィックはIISにより通常どおり処理させる。このモジュールは接続してくるノードを「サーバー」または「クライアント」に分類し、自動的に相互接続し、双方向にデータを透過的に中継できる。その結果、単一の侵害組織が、他政府を含むまったく別のネットワークにまたがるマルウェア運用のための中継制御ノードとして、密かに機能し得る。
中継機能に加え、同じIISモジュールにはシステム管理のための完全なShadowPadコマンドセットが組み込まれている。情報収集、ファイル/プロセス制御、対話型シェル実行、ネットワークプロキシなどである。したがって各ノードは、アクセス点であると同時に分散C2メッシュの一部として機能する。モジュール内のデバッグ文字列を解析することで、研究者はコマンド中継チェーンを再構築し、被害システムがどのように相互接続されているかを明確に示すことができた。
永続化の後、Ink Dragonは追加の侵害後コンポーネントを展開する。これには、DLLサイドローディングを用いる複数のShadowPadローダー、cdb.exeデバッガーを悪用してメモリ上でシェルコードを実行する独自のCDBLoader、そして直接システムコールによりLSASSを秘匿的にダンプするよう設計されたLalsDumperツールが含まれる。後段では、FinalDraftトロイの木馬の更新版も展開される。これはMicrosoft Graph APIとOutlookメールボックスをコマンドチャネルとして利用する、モジュール型RATプラットフォームである。
FinalDraftは、通信のきめ細かなスケジューリング、RDP接続履歴の収集、Windowsセキュリティ制御の弱体化、Microsoftクラウドサービスを介した高速なデータ流出をサポートする。その設定は個々のホストに強く紐づいており、解析とサンプルの再利用の双方を困難にしている。
Ink Dragonの被害者は主として政府機関である。ここ数か月、欧州組織に対する攻撃が顕著に増加しており、欧州で侵害されたサーバーが、その後アフリカおよび東南アジアの標的に対する作戦支援に利用されている。いくつかのケースでは、別の中国系グループRudePandaの活動も同一システム上で観測され、別個のIISモジュール、Webシェル、さらにはカーネルレベルのルートキットの展開まで含まれていた。しかし研究者は、両グループ間の直接的な連携を示す証拠は見いだしていない。
Check Point Researchによれば、Ink Dragonは「被害者」と「コマンドインフラ」の区別が事実上消失する成熟したサイバー諜報モデルを体現している。新たに侵害されたサーバーはそれぞれ全体ネットワークを強化し、レジリエンスと秘匿性の双方を高める。このような環境では、個々のホストを防御するだけではもはや不十分であり、効果的な対抗策はリレーチェーン全体を特定して解体しなければならない。さもなければ、侵害システムは無期限に攻撃者に奉仕し続けることになる。
