2025年7月24日Ravie Lakshmananサイバースパイ活動 / マルウェア
チベットコミュニティは、中国と関係のあるサイバースパイグループによって標的にされており、これは2025年7月6日のダライ・ラマ90歳の誕生日を前に、先月実施された2つのキャンペーンの一環です。
この多段階攻撃は、Zscaler ThreatLabzによって「オペレーション・ゴーストチャット」および「オペレーション・ファントムプレイヤーズ」と名付けられています。
「攻撃者は正規のウェブサイトを侵害し、悪意のあるリンクを通じてユーザーをリダイレクトし、最終的に被害者のシステムにGh0st RATまたはPhantomNet(別名SManager)バックドアのいずれかをインストールしました」と、セキュリティ研究者のSudeep Singh氏とRoy Tay氏は水曜日のレポートで述べています。
中国の脅威アクターがウォータリングホール攻撃(別名:戦略的ウェブ侵害)に頼るのはこれが初めてではありません。この手法では、特定のグループが頻繁に訪れるウェブサイトを侵害し、マルウェアでそのデバイスを感染させます。
過去2年間で、EvilBamboo、Evasive Panda、TAG-112といったハッキンググループが、チベット人ディアスポラを標的にし、最終的には機密情報を収集することを目的としてこの手法を利用してきました。
 |
| オペレーション・ゴーストチャット |
Zscalerが観測した最新の攻撃では、ウェブページが侵害され、「tibetfund[.]org/90thbirthday」へのリンクが偽のバージョン(「thedalailama90.niccenter[.]net」)に差し替えられています。
元のウェブページはダライ・ラマにメッセージを送るために設計されていますが、偽ページには「tbelement.niccenter[.]net」から「TElement」という安全なチャットアプリをダウンロードすることで、精神的指導者に暗号化メッセージを送るオプションが追加されています。このアプリはElementのチベット語版であると主張しています。
このウェブサイト上には、悪意のあるDLLが含まれたオープンソースの暗号化チャットソフトウェアのバックドア版がホストされており、このDLLがサイドローディングされて様々な中国のハッキンググループが広く使用するリモートアクセス型トロイの木馬Gh0st RATを起動します。また、ウェブページには訪問者のIPアドレスやユーザーエージェント情報を収集し、HTTP POSTリクエストを通じて脅威アクターに送信するJavaScriptコードも含まれています。
 |
| オペレーション・ファントムプレイヤーズ |
Gh0st RATは、ファイル操作、スクリーンキャプチャ、クリップボード内容の抽出、ウェブカメラ映像の録画、キーロギング、音声の録音・再生、プロセス操作、リモートシェルなどをサポートする多機能なマルウェアです。
2つ目のキャンペーン「オペレーション・ファントムプレイヤーズ」では、「hhthedalailama90.niccenter[.]net」という別のドメインを利用し、偽の「90th Birthday Global Check-in」アプリ(「DalaiLamaCheckin.exe」、通称PhantomPrayers)を配布しています。このアプリを開くとインタラクティブな地図が表示され、地図上で自分の位置をタップしてダライ・ラマへの「祝福を送る」よう促されます。
しかし、悪意のある機能はバックグラウンドで密かに発動し、DLLサイドローディング技術を用いてバックドアPhantomNetを起動します。PhantomNetはTCP経由でコマンド&コントロール(C2)サーバーと接続し、追加のプラグインDLLを受信して感染マシン上で実行します。
「PhantomNetは特定の時間帯や曜日のみ動作するように設定できますが、現時点のサンプルではこの機能は有効化されていません」と研究者は述べています。「PhantomNetはモジュール式のプラグインDLL、AES暗号化されたC2通信、設定可能なタイマー動作を用いて、感染システムを密かに管理しています。」
翻訳元: https://thehackernews.com/2025/07/china-based-apts-deploy-fake-dalai-lama.html