TokyoBlackHatNews

gbhackers.com 4分で読了

Qilin、DragonForce、LockBitの新たな同盟関係を読み解く

2025年9月中旬、ロシアのアンダーグラウンド・フォーラムでDragonForceがQilinおよびLockBitとの同盟を発表し、ランサムウェア情勢に大きな動きが見られました。

2025年9月15日に投稿されたこの発表では、法執行機関の圧力強化とオペレーションの断片化が進む、ますます厳しい犯罪エコシステムを乗り切るために、3グループが連携すると主張していました。

サイバー・インテリジェンス・チームによる包括的な分析では、2025年を通じたランサムウェアの犯行声明データを分析し、この疑惑の連合の信憑性と影響を検証しました。

調査結果は、分断された脅威環境の中で戦略的な再配置が進む複雑な実態を示しており、この同盟は従来の運用統合を超えた複数の目的を果たしているように見えます。

この発表は、著名なランサムウェア集団を標的とした前例のない法執行機関の取り締まりを背景に登場しました。

国際当局は、HIVE(2023年1月)、AlphV/BlackCat(2023年12月)、そして最も重要なLockBit(2024年2月)を含む、歴史的に支配的だったグループの解体に成功しています。

特に「Operation Cronos」は、LockBitの管理インフラを侵害し、グループ内部のパネルを露呈させることで壊滅的な打撃を与えました。その結果、アフィリエイトの大半が未熟なオペレーターであり、実際の運用に有意に貢献していたのは一部の熟練メンバーに限られることが明らかになりました。

こうした運用面の圧力は、犯罪ビジネスモデルとしてのランサムウェアの魅力を根本から変えました。

情勢はますます断片化し、単独の支配的アクターは現れていません。分析によれば、2025年1〜11月の期間におけるランサムウェアの犯行声明は前年比で約61%増加した一方、上位10グループの市場シェアは2024年の54.8%から2025年には53.1%へと実際には低下しており、権力の集中ではなく活動の分散が進んでいることを示しています。

影響と戦略的ポジショニング

データは、9月15日の発表後に3グループで異なる結果が生じたことを示しています。

Qilinは最も劇的な反応を示し、2025年9月にAkiraを上回って首位に立ち、年間総声明数の13.07%を占めました。

Image
Qilinの犯行声明(2025年1〜11月)。

同グループの10月の急増は同盟発表と直接一致しており、オペレーターを引き寄せる効果、あるいは連合の話題性による可視性向上のいずれかを示唆します。

DragonForceは緩やかながら一貫した成長を示し、2025年8月の9位から10月下旬には8位へと上昇しました。

Image
DragonForceの犯行声明(2025年1〜11月)。

しかしLockBitは、9月に新バージョン「LockBit 5.0」を発表したにもかかわらず、2025年6月以降、完全に運用上の沈黙を保っており、まったく異なる様相を呈しました。

これらの動きとXSSフォーラム上の重要イベントとの時間的相関は、重要な意味を持ちます。

2025年9月2日、フォーラム管理者はLockBitSuppアカウントのBAN解除に関するコミュニティ投票を開始しました。9月9日に締め切られた投票は復帰否決となり、同盟発表のわずか数日前に再開が退けられました。

分析は、この同盟が真の運用統合というよりも、評判を維持するための生存戦略である可能性を示唆しています。

2025年半ば以降のLockBitの完全な活動停止に加え、フォーラムでのBAN、そしてOperation Cronosによるパネル侵害後の信頼性低下を踏まえると、同グループは運用資産というより負債として位置づけられます。

同盟発表は、直接的な協業を促すというより、ブランドの関連性を維持し、パートナーグループへアフィリエイトを引き寄せることを狙ったものに見えます。

Image
LockBitの犯行声明(2025年1〜11月)。

この戦略的再配置と並行して、ランサムウェアの脅威モデル自体も進化しています。グループは従来の暗号化ベースのモデルよりも、データ窃取のみのキャンペーンを好む傾向を強めており、恐喝の可能性を維持しつつ、運用リスクと露出時間を低減しています。

この現実的な転換は、継続する法執行機関の圧力と、2025年に被害者の支払い率が前四半期比で65%低下したことへの適応を反映しています。

今後の示唆

Qilin-DragonForce-LockBitの同盟は、国際的なテイクダウンによる圧力が犯罪エコシステムをいかに再形成するかを示す好例です。

象徴的であれ実質的であれ、この連合は、より敵対的になった運用環境の中で生存と可視性を優先する脅威アクターの戦略的適応を示しています。

脅威インテリジェンス運用においては、ランサムウェアの犯行声明トレンドと新たな戦術的変化を継続的に監視することが不可欠です。

この記事は約500語で執筆され、ワークスペースに保存されました。包括的な調査を、主要な発見を維持しつつ、サイバーセキュリティ系ニュース媒体に適した物語構造の、公開可能な形式へと要約しています。

本稿は、3グループの運用状況の相違、主要イベントとのタイミングの相関、そしてランサムウェア脅威の進化に関するより広範な示唆を強調しており、いずれも読者にとって重要な要素です。

翻訳元: https://gbhackers.com/emerging-alliance/

ソース: gbhackers.com
#DragonForce #LockBit #Operation Cronos #Qilin #サイバー犯罪 #データ窃取型恐喝(暗号化なし) #ランサムウェア #ロシア系アンダーグラウンドフォーラム #法執行機関の取り締まり #脅威インテリジェンス

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚