国家支援の脅威グループが、「Shadow Campaigns」と名付けられた世界規模の作戦で、37か国における政府機関および重要インフラ関連組織の数十のネットワークを侵害した。
また昨年11月から12月にかけて、この攻撃者は155か国に関連する政府機関を標的とした偵察活動も行った。
Palo Alto NetworksのUnit 42部門によると、このグループは少なくとも2024年1月以降活動しており、アジアから活動している可能性が高いという。決定的な帰属が可能になるまで、研究者はこの攻撃者を TGR-STA-1030/UNC6619として追跡している。
「Shadow Campaigns」 の活動は主に、政府省庁、法執行機関、国境管理、財務、貿易、エネルギー、鉱業、移民、外交機関に焦点を当てている。
Unit 42の研究者は、攻撃が37か国にわたる少なくとも70の政府機関および重要インフラ組織の侵害に成功したことを確認した。
これには、南北アメリカにおける貿易政策・地政学的課題・選挙に関与する組織、複数の欧州諸国の省庁および議会、オーストラリアの財務省、台湾の政府および重要インフラが含まれる。
出典: Unit 42
標的化または侵害された組織がある国の一覧は広範で、特定の地域に焦点が当てられており、特定の出来事に起因するとみられるタイミングの偏りが見られる。
研究者によれば、2025年10月の米国政府閉鎖の期間中、脅威アクターは北米・中米・南米(ブラジル、カナダ、ドミニカ共和国、グアテマラ、ホンジュラス、ジャマイカ、メキシコ、パナマ、トリニダード・トバゴ)にわたる組織のスキャンに対する関心を高めた。
ホンジュラスの国家選挙のわずか30日前に、「少なくともホンジュラス政府のインフラをホストする200以上のIPアドレス」に対する大規模な偵察活動が確認された。両候補者が台湾との外交関係回復に前向きな姿勢を示していた時期だった。
Unit 42は、脅威グループが以下の組織を侵害したと評価している:
- ブラジル鉱山・エネルギー省
- 鉱業に関連するボリビアの組織のネットワーク
- メキシコの2つの省庁
- パナマの政府インフラ
- Venezolana de Industria Tecnológicaの施設にジオロケーションされるIPアドレス
- キプロス、チェコ、ドイツ、ギリシャ、イタリア、ポーランド、ポルトガル、セルビアにおける侵害された政府機関
- インドネシアの航空会社
- マレーシアの複数の政府部局および省庁
- モンゴルの法執行機関
- 台湾の電力設備産業における主要サプライヤー
- タイの政府部局(おそらく経済および国際貿易情報関連)
- コンゴ民主共和国、ジブチ、エチオピア、ナミビア、ニジェール、ナイジェリア、ザンビアの重要インフラ組織
Unit 42はまた、 TGR-STA-1030/UNC6619が、オーストラリア財務省、アフガニスタン財務省、ネパール首相府および閣僚評議会事務局に関連するインフラへSSH経由で接続を試みたとも考えている。
これらの侵害とは別に、研究者は他国の組織を標的とした偵察活動および侵害の試行を示す証拠を発見した。
攻撃者はチェコ政府(陸軍、警察、 議会、 内務省、財務省、 外務省、および大統領のウェブサイト)に関連するインフラをスキャンしていたという。
この脅威グループはまた、*.europa.euドメインをホストする600以上のIPを標的にすることで、 欧州連合のインフラ への接続も試みた。2025年7月にはドイツに焦点を当て、政府システムをホストする490以上のIPアドレスへの接続を開始した。
Shadow Campaignsの攻撃チェーン
初期の作戦では、政府関係者に対して高度に作り込まれたフィッシングメールが送られ、誘導文は省内の組織再編の取り組みに言及するものが多かった。
メールには、Mega.nzストレージサービス上にホストされた、ローカライズされた名称の悪性アーカイブへのリンクが埋め込まれていた。圧縮ファイルには、Diaoyuというマルウェアローダーと、pic1.pngという名前の0バイトPNGファイルが含まれていた。
出典: Unit 42
Unit 42の研究者は、Diaoyuローダーが、解析回避チェックに相当する特定の条件下で、Cobalt Strikeのペイロードと、コマンド&コントロール(C2)用のVShellフレームワークを取得することを突き止めた。
「横方向の画面解像度が1440以上というハードウェア要件に加え、このサンプルは実行ディレクトリ内の特定ファイル(pic1.png)について環境依存チェックを行います」と、研究者らは述べている。
研究者は、この0バイト画像がファイルベースの整合性チェックとして機能すると説明する。これが存在しない場合、マルウェアは侵害されたホストを調査する前に終了する。
検知回避のため、ローダーは次のセキュリティ製品の実行プロセスを探す: Kaspersky、Avira、Bitdefender、Sentinel One、Norton(Symantec)。
フィッシングに加え、TGR-STA-1030/UNC6619は初期侵入を達成するために、少なくとも15件の既知の脆弱性も悪用した。Unit 42は、脅威アクターがSAP Solution Manager、Microsoft Exchange Server、D-Link、Microsoft Windowsのセキュリティ問題を悪用したことを確認した。
新しいLinuxルートキット
Shadow Campaigns活動で使用されたTGR-STA-1030/UNC6619のツールキットは広範で、Behinder、Godzilla、Neo-reGeorgといったウェブシェルに加え、GO Simple Tunnel(GOST)、Fast Reverse Proxy Server(FRPS)、IOXなどのネットワークトンネリングツールも含まれる。
しかし研究者は、‘ShadowGuard’と呼ばれるカスタムLinuxカーネルeBPFルートキットも発見しており、これは TGR-STA-1030/UNC6619脅威アクター固有のものだと考えている。
「eBPFバックドアは、非常に信頼されたカーネル空間内で完全に動作するため、検知が極めて困難であることで知られています」と、 研究者は説明している。
「これにより、セキュリティツールやシステム監視アプリケーションが真のデータを見る前に、コアとなるシステム機能や監査ログを操作できます」
ShadowGuardはカーネルレベルで悪性プロセス情報を隠蔽し、syscallのインターセプトを用いて標準的なLinux監視ツールから最大32個のPIDを隠す。また、swsecretという名前のファイルやディレクトリを手動検査からも隠すことができる。
さらに、このマルウェアには、可視のままにすべきプロセスをオペレーターが定義できる仕組みが備わっている。
Shadow Campaignsで使用されたインフラは、米国、シンガポール、英国の正規VPSプロバイダー上の被害者向けサーバーに加え、トラフィック難読化のためのリレーサーバー、そしてプロキシ用途として住宅用プロキシまたはTorに依存している。
研究者は、標的にとって見慣れたものに見えるC2ドメインの使用にも気づいた。たとえばフランス語圏の国々に対して.gouvのトップレベル拡張を用いたり、欧州圏での攻撃で dog3rj[.]tech ドメインを使用したりしていた。
「このドメイン名は『DOGE Jr』への言及である可能性があり、西側の文脈では、米国政府効率化省(Department of Government Efficiency)や暗号資産の名称など、複数の意味を持ち得ます」と研究者は説明する。
Unit 42によれば、TGR-STA-1030/UNC6619は作戦遂行能力が成熟した諜報アクターであり、戦略・経済・政治インテリジェンスを優先し、すでに世界中の数十の政府に影響を与えている。
Unit 42のレポートには、これらの攻撃の検知とブロックを支援するため、レポート末尾に侵害指標(IoC)が含まれている。
