昨年3つの新しい脅威グループが重要インフラをターゲットにし始めた一方で、北京が支援する有名なクルー「Volt Typhoon」は引き続き携帯ゲートウェイとルーターを侵害し、その後2025年にUS電力、石油、ガス企業に侵入しました。これはDragosが火曜日に発表した年次脅威レポートによるものです。
Dragosは運用技術(OT)セキュリティを専門としており、その顧客には、エネルギー、水道、製造、輸送、およびその他の重要産業が含まれています。予想通り、これらは中国、ロシア、およびその他の政府系サイバー工作員がスパイ行為と戦争目的でハックするための重要なセクターです。
年次サイバーセキュリティレポートで、Dragosは政府系クルーが米国の重要インフラを侵害しようとする試みをやめていないと述べました。3つの新しいOT特化型脅威グループが参加し、これにより世界中の総数が26になり、このうち11が2025年に活動していました。
さらに、Dragosが追跡しているVoltziteとしての既存グループは、Dragos CEO Robert M. Leeによると、Volt Typhoonと「高度に相関している」として、昨年の侵入活動を継続しました。これは米国政府が何年も米国の重要ネットワークに侵入したと非難し、それらのターゲットに対する破壊的なサイバー攻撃を準備していた北京の悪党クルーです。
2025年には、Voltziteは「長期的な永続性を維持する」ために、その悪意のあるソフトウェアを戦略的な米国ユーティリティの内部に埋め込み続けました。
「彼ら(Voltzite)は単に侵入してアクセスを取得するだけではなく、ユーティリティの産業プロセスを管理するコントロールループシステムの内部に侵入していました」とLeeは記者との説明会で述べており、PRC支援クルーの主な焦点は将来の混乱を引き起こすことであると付け加えました。
Voltziteはそのインフラストラクチャを破壊する目的で埋め込まれていた
「彼らが取得していた何もが知的財産に役立つものではありませんでした」とLeeは述べています。「彼らが行っていたことと学んでいたことのすべては、それらのサイトで混乱や破壊を引き起こすことにのみ役立つものでした。Voltziteはそのインフラストラクチャを破壊する目的で埋め込まれていました。」
これらのキャンペーンの1つで、侵入者はSierra Wireless AirLinkデバイスを侵害し、これらを使用してUS パイプライン操業のOTネットワークにアクセスしました。DragosはVoltziteが運用とセンサーデータを流出させるのを観察し、侵入者がOTネットワークに持っていたアクセスレベルは、制御システムを潜在的に操作できたことを示しました。彼らは工学ワークステーションにもアクセスし、操業の強制停止方法に関する情報を含む設定ファイルとアラームデータを盗みました。
別のVoltzite関連キャンペーンでは、DragosはJDYボットネットを使用してエネルギー、石油、ガス、防衛セクター全体でパブリックアクセス可能なインターネットプロトコル(IP)アドレス範囲とVPNアプライアンスをスキャンするクルーを発見しました。
「この段階では利用の確認がありませんでしたが、Dragosは中程度の信頼度で、意図が将来の侵入と運用データ流出のための事前ステージング段階であると評価しています」とレポートによると。
新興勢力
昨年Dragosが追跡を開始した3つの新しいグループの1つ、Sylvaniteは、Voltziteの初期アクセスブローカーとして機能し、脆弱性を兵器化し、その後、より深いOT侵入のためにVoltziteにこのアクセスを引き渡す責任があります。
「通常、これは政府チームと彼らの国立研究所、または政府チームと請負業者、または2つの異なる政府機関を示しています」とLeeは述べました。
Sylvaniteは、F5、Ivanti、およびSAPからのインターネットに面した製品の既知の脆弱性を悪用して、Voltziteアクセスを北米、英国、ヨーロッパ、アジア、および中東全体の電力生成、送電、配電、水、下水、および石油とガス組織に提供します。
「彼らはエッジデバイスの脆弱性を見つけています。つまり、請負業者またはリモートワーカーが操業ネットワークに侵入するために使用するものです」とLeeは述べています。「そして、開示から48時間以内に、彼らはそれらのデバイスを逆エンジニアリングして攻撃しています。」
2025年中に出現した2番目のグループであるAzuriteは、中国のFlax Typhoonと重複し、OTエンジニアリングワークステーションへの長期アクセスを獲得し、ネットワーク図、アラームデータ、および下流の機能開発のためのプロセス情報を含む運用ファイルを流出させることに焦点を当てています。
このグループは、米国、ヨーロッパ、およびアジア太平洋地域全体の製造、防衛、自動車、電力、石油とガス、および政府組織をターゲットにしています。
最後に、3番目の新しいグループであるPyroxeneは、Imperial Kitten(別名APT35)に属する活動と重複しています。これはイスラム革命防衛隊(IRGC)のサイバー部門です。
Dragosは、Pyroxeneが「防衛、重要インフラ、および産業セクターをターゲットとしたサプライチェーン活用攻撃を実施しており、操業が中東から북米およびヨーロッパ西部に拡大している」ことを検出しました。
このような1つの侵入には、Dragosが追跡しているParisiteというグループとの協力が関わっていました。このグループは重要インフラ組織への初期アクセスプロバイダーとして機能しています。
Pyroxeneは通常、ターゲットとされた個人に対して採用をテーマにしたソーシャルエンジニアリングを使用し、偽のソーシャルメディアプロフィールを介して被害者と相互作用してから、バックドアおよび他の悪意のあるソフトウェアを配信します。2025年6月、Dragosは、イランとイスラエルおよび米国間の軍事紛争の時期周辺のイスラエルの「複数の未公開組織」に対してデータワイプ悪意のあるソフトウェアを展開したと述べました。
ロシアを軽視しないでください
もちろん、中国とイランだけが米国と世界中の重要インフラをターゲットにしている国ではありません。ロシアはまた、西部の水とユーティリティに対する脅威、およびクレムリンの占領に対する継続的な戦争でウクライナを支援している国にも対する脅威を構成しています。
Dragosはサイバー攻撃を国に帰属させていません。しかし、今年初め、それは2025年12月のポーランドの電力網に対するサイバー攻撃をDragosが追跡しているグループであるElectrumに非難しました。このグループは、ロシアのGRU運営のSandworm攻撃型サイバーユニットと重複しています。このユニットは、ウクライナの電力施設に対する2022年の攻撃と、ロシアの2022年のウクライナへの地上侵攻と一致した前のワイパー攻撃の背後にあるクルーです。
新しいレポートで、Dragosは、Kamaciteがelectrumの初期アクセスプロバイダーとして機能し、2025年3月から7月の間に米国の水、エネルギー、製造セクター内の脆弱なインターネット公開産業デバイスに対してKamaciteが実施した偵察キャンペーンの詳細を説明しました。
「この期間中、Dragosは成功した利用の証拠を見つけませんでしたが、スキャンの範囲と精度は、Kamaciteの作戦姿勢に意味のある進化を明らかにしています」とレポートは述べています。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/02/17/volt_typhoon_dragos/
