サイバーセキュリティの研究者たちは、中国系サイバースパイ集団Murky Pandaによって仕組まれた悪意ある活動に注目しています。この活動は、クラウドにおける信頼関係を悪用し、企業ネットワークへの侵入を狙うものです。
「この攻撃者は、Nデイおよびゼロデイ脆弱性を素早く武器化する能力を持ち、インターネットに公開された機器を悪用して標的への初期アクセスを頻繁に獲得しています」とCrowdStrikeは木曜日のレポートで述べています。
Murky Panda(別名Silk Typhoon、旧称Hafnium)は、2021年のMicrosoft Exchange Serverのゼロデイ脆弱性悪用で最もよく知られています。このハッカー集団による攻撃は、北米の政府、テクノロジー、学術、法律、専門サービス分野の組織を標的にしています。
今年3月、Microsoftはこの脅威アクターの戦術変更について詳細に説明し、企業ネットワークへの初期アクセスを得る手段としてITサプライチェーンを標的にしていることを明らかにしました。Murky Pandaの活動は情報収集を目的としていると考えられています。
他の中国系ハッカー集団と同様に、Murky Pandaはインターネットに公開された機器を悪用して初期アクセスを獲得しており、標的国に位置するSOHO(小規模オフィス/ホームオフィス)機器を出口ノードとして侵害し、検知を回避していると考えられています。
他の感染経路としては、Citrix NetScaler ADCおよびNetScaler Gateway(CVE-2023-3519)、Commvault(CVE-2025-3928)の既知のセキュリティ脆弱性の悪用が含まれます。初期アクセス後、neo-reGeorgのようなWebシェルを展開して永続化を確立し、最終的にCloudedHopeと呼ばれるカスタムマルウェアを投入します。
CloudedHopeは64ビットELFバイナリでGolangで書かれており、基本的なリモートアクセスツール(RAT)として機能します。また、タイムスタンプの改ざんや被害環境内の痕跡削除など、解析回避および運用セキュリティ(OPSEC)対策も施されています。
しかし、Murky Pandaの手口で特筆すべきは、パートナー組織とそのクラウドテナント間の信頼関係を悪用し、ゼロデイ脆弱性を突いてSaaSプロバイダーのクラウド環境に侵入し、下流の被害者へ横展開する点です。
2024年末に観測された少なくとも1件の事例では、脅威アクターが北米企業のサプライヤーを侵害し、そのサプライヤーの管理者権限を利用して被害企業のEntra IDテナントに一時的なバックドアEntra IDアカウントを追加したとされています。
「このアカウントを使い、脅威アクターはActive Directory管理やメールに関連する既存のEntra IDサービスプリンシパルを複数バックドア化しました」とCrowdStrikeは述べています。「攻撃者の目的はメールへのアクセスに集中していることから、標的型であると考えられます。」
MurkyからGenesisへ#
クラウドサービスの操作に長けていることが証明されているもう一つの中国系脅威アクターがGenesis Pandaです。彼らは基礎的な情報流出のためにインフラを利用し、クラウドサービスプロバイダー(CSP)アカウントを標的にしてアクセス拡大やバックアップ用の永続化メカニズムを確立していることが観測されています。
少なくとも2024年1月から活動しているGenesis Pandaは、金融サービス、メディア、通信、テクノロジー分野の11カ国にわたる大規模な作戦に関与しているとされています。これらの攻撃の目的は、将来的な情報収集活動のためのアクセス確保です。
このグループが初期アクセスブローカーとして機能している可能性は、幅広いWeb公開脆弱性の悪用と限定的なデータ流出に基づいています。
「Genesis Pandaは様々なシステムを標的にしていますが、クラウド上のシステムを侵害し、クラウドコントロールプレーンを利用した横展開、永続化、列挙に一貫した関心を示しています」とCrowdStrikeは述べています。
攻撃者はクラウド上のサーバーに関連するインスタンスメタデータサービス(IMDS)を「継続的に」照会し、クラウドコントロールプレーンの認証情報やネットワーク・インスタンス構成を列挙しています。また、侵害した仮想マシン(VM)から得たとみられる認証情報を使い、標的のクラウドアカウント内部へさらに侵入を深めています。
これらの発見は、中国系ハッカー集団がクラウド環境の突破と操作にますます熟練し、持続的なアクセスと隠密なデータ収集を優先していることを示しています。
Glacial Panda、通信分野を攻撃#
CrowdStrikeによると、通信分野では、国家支援型活動が過去1年で130%増加しており、これは同分野が情報の宝庫であることが主な要因です。最近この業界に照準を合わせた脅威アクターが、中国系のGlacial Pandaです。
このハッカー集団の活動範囲は、アフガニスタン、香港、インド、日本、ケニア、マレーシア、メキシコ、パナマ、フィリピン、台湾、タイ、米国に及びます。
「Glacial Pandaは、情報収集を目的とした標的型侵入を高い確率で実施しており、複数の通信事業者から通話詳細記録や関連する通信テレメトリを取得・流出させています」とサイバーセキュリティ企業は述べています。
「攻撃者は主に通信業界で一般的なLinuxシステム、特に旧世代の通信技術をサポートするレガシーOSディストリビューションを標的にしています。」
この脅威アクターによる攻撃チェーンは、既知のセキュリティ脆弱性や弱いパスワードを利用してインターネットに公開された管理されていないサーバーを狙い、その後の活動でCVE-2016-5195(通称Dirty COW)やCVE-2021-4034(通称PwnKit)などの権限昇格バグを利用しています。
LotL(Living-off-the-Land)技術に加え、Glacial Pandaの侵入はトロイの木馬化されたOpenSSHコンポーネント(総称してShieldSlideと呼ばれる)の展開につながり、ユーザー認証セッションや認証情報の収集が行われます。
「ShieldSlideでトロイの木馬化されたSSHサーバーバイナリは、ハードコードされたパスワードを入力することで、任意のアカウント(rootを含む)でバックドアアクセスを提供します」とCrowdStrikeは述べています。
翻訳元: https://thehackernews.com/2025/08/chinese-hackers-murky-genesis-and.html