2025年7月30日Ravie Lakshmananエンドポイントセキュリティ / サイバースパイ活動
シルクタイフーン(別名Hafnium)として知られる国家支援型ハッキンググループに関連する中国企業が、十数件以上の技術特許の背後にいることが判明し、影に包まれたサイバー契約エコシステムとその攻撃能力が明らかになりました。
SentinelOneがThe Hacker Newsと共有した新しいレポートによると、これらの特許は、暗号化されたエンドポイントデータの収集、Appleデバイスのフォレンジック調査、ルーターやスマートホームデバイスへのリモートアクセスを可能にするフォレンジックおよび侵入ツールを対象としています。
「Hafniumに関連する企業の能力に関するこの新たな洞察は、脅威アクターの属性分野における重要な欠陥を浮き彫りにしています。脅威アクターの追跡は通常、キャンペーンや活動のクラスターを特定のアクターに結びつけるものです」と、SentinelLabsの中国専門戦略アドバイザーであるDakota Caryは述べています。
「私たちの調査は、攻撃の背後にいる個人だけでなく、彼らが働く企業、その企業が持つ能力、そしてそれらの能力がこれらの企業と契約する国家機関の取り組みをどのように強化しているかを特定することの重要性を示しています。」
これらの発見は、米国司法省(DoJ)が2025年7月に発表した起訴状に基づいています。徐沢偉(Xu Zewei)と張宇(Zhang Yu)は、中国国家安全省(MSS)の代理として、2021年にMicrosoft Exchange Serverを標的とした大規模な悪用キャンペーンを組織したとされており、その際にはProxyLogonと呼ばれるゼロデイ脆弱性が利用されました。
裁判所の文書によると、沢偉は上海パワーロックネットワーク有限公司(Shanghai Powerock Network Co. Ltd.)に勤務しており、宇は上海ファイアテック情報科学技術有限公司(Shanghai Firetech Information Science and Technology Company, Ltd.)に雇用されていました。両名とも上海国家安全局(SSSB)の指示の下で活動していたとされています。
興味深いことに、Natto Thoughtsは、パワーロックが2021年4月7日に事業を抹消したと報じています。これはMicrosoftがゼロデイ悪用活動の責任を中国に指摘したわずか1か月余り後のことです。その後、沢偉はチャイティンテックという著名なサイバーセキュリティ企業に入社し、さらに転職して上海GTAセミコンダクター株式会社でITマネージャーとして働き始めました。
この段階で注目すべきは、シルクタイフーンに関係するハッカーである尹克成(Yin Kecheng)が、周帥(Zhou Shuai)によって設立された上海黒鷹信息技術有限公司(Shanghai Heiying Information Technology Company, Limited)という第三の中国企業に勤務していたとされていることです。周帥は中国の愛国的ハッカーであり、データブローカーとも言われています。
「上海ファイアテックは、MSSの担当官から下された特定の任務に従事していました」とCaryは説明します。「上海ファイアテックと共謀者たちは、MSSの主要な地方オフィスであるSSSBと継続的かつ信頼できる関係を築きました。」
「SSSBとこれら2社の間のこの『指示された』関係性は、中国における階層的な攻撃型ハッキング組織のシステムを形作っています。」
個人とその企業間のつながりのネットワークをさらに調査した結果、上海ファイアテックおよび上海思凌商務諮詢センター(上海ファイアテックのCEOである尹文基(Yin Wenji)と宇によって共同設立された企業)が、Appleデバイス、ルーター、防御機器から「証拠」を収集するための特許を出願していることが明らかになりました。
また、上海ファイアテックが、特定の対象者に対する近接アクセス作戦を可能にするソリューションの開発にも従事している証拠もあります。
「上海ファイアテックが管理するツールの多様性は、Hafniumやシルクタイフーンに公に帰属されているものを超えています」とCaryは述べています。「これらの能力は他の地方MSSオフィスにも販売されている可能性があり、同じ企業構造に属しているにもかかわらず、Hafniumに帰属されていないのです。」
翻訳元: https://thehackernews.com/2025/07/chinese-firms-linked-to-silk-typhoon.html