ベネズエラに関する米国の計画を明らかにすると約束する添付ファイルがあれば、政策通でクリックしたくならない人がいるだろうか。中国のサイバースパイはまさにそうした餌を使い、米軍の作戦でベネズエラ大統領ニコラス・マドゥロが拘束されたわずか数日後に始まったフィッシング・キャンペーンで、米政府機関や政策関連組織を標的にした。
Acronis Threat Research Unitは、1月初旬にVirusTotalへアップロードされた「US now deciding what’s next for Venezuela(米国はいまベネズエラの次を決めている)」という名前のzipファイルを発見し、このキャンペーンを突き止めた。中には正規の実行ファイルと、Lotusliteと呼ばれるDLLベースの隠しバックドアが含まれていた。
この組み合わせは、インフラや技術的な重複といった他の要素とともに、セキュリティ調査員がこのフィッシング・キャンペーンを、北京の支援を受けた「Mustang Panda(別名UNC6384、Twill Typhoon)」と呼ばれる諜報グループによるものだと「中程度の確度」で帰属させる助けとなった。
米国の法執行機関とサイバー捜査当局は、Mustang Pandaを長年追跡しており、米国、欧州、インド太平洋地域における「多数の政府機関および民間組織」への侵入について、この覗き見役を犯人だと非難してきた。
木曜日の報告書で、Acronisの脅威ハンターは同グループの最新キャンペーンを詳述し、新たなLotusliteマルウェアの技術分析を提供した。著者の一人で脅威インテリジェンス研究責任者のSantiago Pontiroliは、中国(PRC)のスパイが標的としたコンピュータのいずれかを侵害することに成功したかどうかは不明だと述べた。
「これは広範囲にばらまくような無差別攻撃ではなく、精密で標的を絞ったキャンペーンでした。標的設定は、広くスプレーして祈る(spray and pray)というより、選別的に見えます」とPontiroliはThe Registerに語った。
「この脅威アクターは、固定的というより機会主義的で出来事に反応する、継続中のサイバー諜報活動というより大きなパターンに当てはまります」と彼は付け加えた。「このキャンペーンでは、マドゥロが拘束された直後に脅威アクターが素早く動きました」
Mustang Pandaは、これまでのフィッシング活動と同様、サイバー作戦を当時の地政学的出来事に合わせてきた。今回のケースではマドゥロの拘束であり、以前のキャンペーンでは外交会議や地域特有の政治イベントに結び付いた誘い文句が使われていた。
「運用面では、Mustang Pandaは中程度の複雑さで再現可能な実行手法を好み、とりわけDLLサイドローディングを広範に用いて、無害または信頼された実行ファイル経由でカスタム・インプラントを展開することが最も顕著です」と脅威研究ユニットは記した。
zipアーカイブの追加分析により、「Maduro to be taken to New York(マドゥロはニューヨークへ連行される)」という実行ランチャーが見つかった。これはTencentが所有する音楽ストリーミングサービスのランチャー・バイナリを改名したものだった。さらに、kugouという隠された悪意あるDLLも含まれていた。
研究者によれば、Kugou.dllはこれまで見られなかったバックドアで、彼らはLotusliteと命名した。このカスタムC++インプラントは、ハードコードされたIPベースのコマンド&コントロール(C2)サーバーと通信する。感染したマシン上で永続化を確立し、ビーコン送信タスクを実行し、オペレーターが被害者環境からデータを窃取できるようにする。 ®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/01/15/chinese_spies_used_maduros_capture/
