2025年7月25日Ravie Lakshmananマルウェア / 脅威インテリジェンス
Patchworkとして知られる脅威アクターが、戦略的な情報収集を目的としてトルコの防衛請負業者を標的とした新たなスピアフィッシングキャンペーンを展開していることが判明しました。
「このキャンペーンは、無人車両システムについてさらに知りたいと考えるターゲットに送信されるカンファレンス招待状を装った悪意のあるLNKファイルを介して配信される、5段階の実行チェーンを採用しています」とArctic Wolf Labsは今週公開した技術レポートで述べています。
この活動は、名前が明かされていない精密誘導ミサイルシステムの製造業者も標的にしており、パキスタンとトルコ間の防衛協力が深まる中、また最近のインド・パキスタン間の軍事衝突と時期が重なることから、地政学的な動機によるものとみられます。
Patchworkは、APT-C-09、APT-Q-36、Chinastrats、Dropping Elephant、Operation Hangover、Quilted Tiger、Zinc Emersonとも呼ばれ、インドを起源とする国家支援型アクターと評価されています。少なくとも2009年から活動しており、中国、パキスタン、南アジア諸国の組織を標的とした実績があります。
ちょうど1年前、Knownsec 404 Teamは、Patchworkがブータンと関係のある組織を標的とし、Brute Ratel C4フレームワークやPGoShellと呼ばれるバックドアの更新版を配信していたことを記録しています。
2025年初頭以降、この脅威アクターは中国の大学を狙った様々なキャンペーンと関連付けられており、最近の攻撃では、国内の電力網に関連する誘引を用いて、Rustベースのローダーを配信し、それがC#製のトロイの木馬「Protego」を復号・起動し、侵害されたWindowsシステムから幅広い情報を収集しています。
中国のサイバーセキュリティ企業QiAnXinが5月に公開した別のレポートでは、PatchworkとDoNot Team(別名APT-Q-38またはBellyworm)との間でインフラの重複が確認されており、両脅威クラスター間に潜在的な運用上のつながりがあることを示唆しています。
このハッカーグループによるトルコの標的化は、標的範囲の拡大を示しており、フィッシングメールを通じて配布される悪意のあるWindowsショートカット(LNK)ファイルを起点に、多段階の感染プロセスを開始しています。
具体的には、LNKファイルはPowerShellコマンドを呼び出すよう設計されており、追加のペイロードを外部サーバー(「expouav[.]org」)から取得します。このドメインは2025年6月25日に作成され、国際無人車両システム会議を模したPDF誘引をホストしており、その詳細は正規のwaset[.]orgウェブサイトに掲載されています。
「PDFドキュメントは視覚的なデコイとして機能し、ユーザーの注意を引きつけている間に、残りの実行チェーンがバックグラウンドで静かに動作します」とArctic Wolfは述べています。「この標的化は、トルコが世界のUAV輸出市場の65%を占め、重要な極超音速ミサイル能力を開発しつつ、インド・パキスタン間の緊張が高まる中でパキスタンとの防衛関係を強化している時期に行われています。」
ダウンロードされるアーティファクトの中には、DLLサイドローディングとスケジュールタスクによって起動される悪意のあるDLLが含まれており、最終的にシェルコードが実行され、侵害されたホストの広範な偵察(スクリーンショットの取得など)が行われ、その詳細がサーバーに送信されます。
「これは、この脅威アクターの能力が大きく進化したことを示しており、2024年11月に観測されたx64 DLLバリアントから、現在のコマンド構造が強化されたx86 PE実行ファイルへと移行しています」と同社は述べています。「Dropping Elephantは、x64 DLLからx86 PEフォーマットへのアーキテクチャ多様化、正規ウェブサイトを偽装したC2プロトコルの強化実装を通じて、継続的な運用投資と開発を示しています。」
翻訳元: https://thehackernews.com/2025/07/patchwork-targets-turkish-defense-firms.html