軍および政府機関は、巧妙なスピアフィッシング・キャンペーンの標的として再び照準に収められている。そこでは攻撃者が、社会の最も痛切な不安を欺瞞の引き金として悪用する。サイバーセキュリティの専門家は、こうした感情を強く揺さぶる誘い文句が、新たに発見された攻撃の主要な仕組みであると特定した。
この作戦は、脅威アクターHive0156によるものとされる。360 Threat Intelligence Centerによれば、このグループは2025年を通じてデータ流出の取り組みを強化しており、防衛および行政機関を狙い撃ちにしている。とりわけ、ヴェルホーヴナ・ラーダに重点を置いているという。
拡散の初期ベクターとしてViberが用いられた。潜在的な被害者には、一見無害な題名を冠したアーカイブが送られ、その中には公式の議会文書を装ったショートカットが含まれていた。内容には、ヴェルホーヴナ・ラーダからの捏造された照会、戦死した軍人の親族からのスキャンされた嘆願書、近年の死傷者統計を詳述した付録などが含まれていた。テーマは、緊急の感情的反応を引き起こすよう綿密に選び抜かれており、受信者にファイルを直ちに開かせることを狙っていた。
実行すると、ユーザーには想定どおりの文書が表示される一方で、システム内では迷路のように複雑な感染チェーンが同時に展開される。難読化されたPowerShellスクリプトがバックグラウンドで起動し、遠隔のC2(コマンド&コントロール)サーバーから追加のペイロードを取得する。防御境界を回避するため、攻撃者はDLLサイドローディング、非標準の制御フロー遷移、正規のシステムモジュールのメモリ上での改変といった高度な回避手法を用いる。
HijackLoaderユーティリティはこの一連の仕組みにおいて中核的な役割を担い、環境偵察、アンチウイルスソフトの無力化、タスクスケジューラを介した永続化を実行する。悪意を隠すため、コードは正規のWindowsライブラリの挙動を模倣し、環境変数を動的に生成して、各感染を固有のものにし、シグネチャ化を困難にしている。
作戦の最終目的は、Remcosリモートアクセス トロイの木馬(RAT)の展開にある。商用では管理ツールとして販売されているものの、Remcosは長年にわたり諜報キャンペーンで常用されてきた。いったん定着すると、攻撃者に侵害されたホストに対する絶対的な支配権を与え、データ窃取、リモートでのコマンド実行、洗練されたグラフィカルインターフェースを通じたリアルタイムの画面監視を可能にする。
アナリストは、被害者の選定、配信にインスタントメッセージングを用いる点、HijackLoaderとRemcosの特定の組み合わせに至るまで、用いられている手法がUAC-0184の既知のシグネチャと完全に一致すると指摘する。これらの要素の合流により、このキャンペーンは高い確度で帰属判断が可能となる。
専門家は、こうした侵入が技術的欠陥ではなく心理的脆弱性を狙うものだと改めて強調する。現在の状況下では、戦没者の行方や遺族補償といった題材が強力なソーシャルエンジニアリングの道具となり、サイバー脅威を深刻な心理的苦痛へと変貌させる。
