2025年9月17日Ravie Lakshmananサイバー諜報活動 / マルウェア
TA415として知られる中国系の脅威アクターが、米国政府、シンクタンク、学術機関を標的とし、米中経済をテーマにした誘導を利用したスピアフィッシングキャンペーンを展開していることが明らかになりました。
「この活動では、同グループは米国と中国共産党(CCP)間の戦略的競争に関する特別委員会の現議長や米中ビジネス協議会になりすまし、主に米中関係、貿易、経済政策に注力する個人や組織を標的としました」とProofpointは分析で述べています。
エンタープライズセキュリティ企業であるProofpointによると、2025年7月から8月にかけて観測されたこの活動は、米中間の貿易交渉が続く中、中国国家支援の脅威アクターによる情報収集を促進する試みである可能性が高いとしています。また、このハッカーグループは、APT41やBrass Typhoon(旧Barium)として広く追跡されている脅威クラスターと重複していると指摘しています。
この発見は、米国下院中国特別委員会が中国系脅威アクターに関連する「継続中」の高度に標的化されたサイバー諜報活動キャンペーンについて警告を発した数日後に明らかになりました。この中には、フィッシングメールで共和党のジョン・ロバート・ムーレナール下院議員になりすまし、情報窃取型マルウェアを配布しようとしたキャンペーンも含まれます。
Proofpointによると、このキャンペーンは主に国際貿易、経済政策、米中関係を専門とする個人を標的とし、米中ビジネス協議会を装ったメールで、米台・米中問題に関する非公開ブリーフィングへの招待を装っていました。
これらのメッセージは「uschina@zohomail[.]com」というメールアドレスから送信されており、活動元を隠すためにCloudflare WARP VPNサービスも利用されていました。メールには、Zoho WorkDrive、Dropbox、OpenDriveなどのパブリッククラウド共有サービス上にホストされたパスワード付きアーカイブへのリンクが含まれており、その中にはWindowsショートカット(LNK)と他のファイルが隠しフォルダ内に存在しています。
LNKファイルの主な機能は、隠しフォルダ内のバッチスクリプトを実行し、ユーザーにはカバーファイルとしてPDFドキュメントを表示することです。その裏で、バッチスクリプトはアーカイブ内に含まれる難読化されたPythonローダー「WhirlCoil」を実行します。
「この感染チェーンの初期バージョンでは、PastebinなどのPasteサイトからWhirlCoil Pythonローダーをダウンロードし、Pythonパッケージは公式Pythonウェブサイトから直接取得していました」とProofpointは指摘しています。
このスクリプトはまた、通常「GoogleUpdate」や「MicrosoftHealthcareMonitorNode」といった名前のスケジュールタスクを作成し、ローダーを2時間ごとに実行することで永続化を図ります。また、ユーザーが管理者権限を持っている場合は、SYSTEM権限でタスクを実行します。
その後、PythonローダーはVisual Studio Codeのリモートトンネルを確立し、持続的なバックドアアクセスを実現、システム情報や様々なユーザーディレクトリの内容を収集します。これらのデータとリモートトンネルの認証コードは、HTTP POSTリクエストの本文内でbase64エンコードされたデータとして、requestrepo[.]comなどの無料リクエストログサービスに送信されます。
「このコードを使って、脅威アクターはVS Codeリモートトンネルを認証し、標的ホスト上のファイルシステムへのリモートアクセスや、組み込みのVisual Studioターミナルを通じた任意コマンドの実行が可能になります」とProofpointは述べています。
翻訳元: https://thehackernews.com/2025/09/chinese-ta415-uses-vs-code-remote.html