新たな報告書により、中国のサイバー諜報活動を支援する企業に関連する十数件以上の特許が明らかになり、これまで公開されていなかった能力が明るみに出ました。
これらの技術は、最近米国で起訴された企業によって登録されており、ハフニウム(Hafnium)として知られる高度持続的脅威グループに関連しています。マイクロソフトではSilk Typhoonとしても追跡されています。
この発見は、2025年7月に中国人2名、徐沢偉(Xu Zewei)と張宇(Zhang Yu)が起訴されたことに続くものです。両名は国家安全省(MSS)のためにハッキングを行ったとされています。徐と張は、これまでハフニウムと公に関連付けられていなかった企業、上海パワーロック(Shanghai Powerock)と上海ファイアテック(Shanghai Firetech)にそれぞれ勤務していました。
米司法省によれば、両社は上海国家安全局(SSSB)の指示の下で運営されていました。
フォレンジック特許と組織的なつながり
SentinelLabsの調査により、上海ファイアテックに関連する少なくとも10件の特許が特定され、攻撃的なサイバー能力が示されました。これには、Appleデバイスから暗号化データを抽出するツール、ルーターやスマート家電からのトラフィック傍受ツール、保護されたドライブからファイルを復元するツールなどが含まれます。
この調査は、これらの企業が中国の情報機関と長期的な関係をどのように維持しているかについても明らかにしています。例えば張宇は、協調的なハッキング活動を監督し、将来の上海ファイアテックのビジネスパートナーと関係するモバイルアプリ企業を共同設立した経歴もあります。
中国のサイバー諜報活動についてさらに読む:長期化する中国のサイバー諜報キャンペーンがVMwareアプライアンスを標的に
拡大するハフニウム・クラスター
7月の起訴により、既知のハフニウムのエコシステムは少なくとも4人と3社に拡大しました。
2025年初頭には、尹克成(Yin Kecheng)と周帥(Zhou Shuai)の2名が、同じ活動クラスターに関連する別件で制裁および起訴されました。周(別名Coldface)は、iSoon社を通じて尹の業務の仲介役を務めており、同社の内部文書は2024年にオンラインで流出しました。
マイクロソフトは2022年にこのグループをSilk Typhoonと改名しましたが、米司法省は依然としてこれらの活動をハフニウムの最も悪名高いキャンペーン、すなわち 2021年のMicrosoft Exchange Serverの脆弱性悪用に結び付けています。この侵害を受け、米国、英国、EUが中国のサイバー活動を非難する異例の共同声明を発表しました。
特許が示すより広範な攻撃能力
上海ファイアテックによる最近の出願には、以下のようなツールが記載されています:
-
リモート携帯電話フォレンジックソフトウェア
-
ルーターのトラフィック収集プラットフォーム
-
スマート家電解析ツール
-
ハードドライブ復号化ユーティリティ
-
家庭用システム向けネットワーク制御ソフトウェア
これらの出願は、同社が公にハフニウムに帰属されているものを超えた近接アクセス型の作戦を支援している可能性を示唆しています。特に、特許取得済みのツールの中には実際に使用された形跡がないものもあり、機密作戦向けに開発されたか、上海以外の地域の国家安全省オフィスに提供された可能性も残されています。
翻訳元: https://www.infosecurity-magazine.com/news/hafnium-chinese-surveillance-tools/