複数のサイバー犯罪シンジケートが同時に東南アジアの主権機関のネットワークに侵入し、不気味に並行した動きで活動しており、お互いの秘密活動を妨げることなく進行していた。その結果は深く異常なものであった:異なる武器と相異なる方法論が配備されたにもかかわらず、すべては単一の統一目標に収束していた。つまり、ネットワークアーキテクチャに深く根を張り、重要なテレメトリーを静かに盗み出すことである。
Unit 42のフォレンジック監視者たちが、2025年の夏にこの異常な仕組みを最初に発見した。当初、この侵入はStately Taurusシンジケートの特徴を帯びていた。このシンジケートは、物理的なフラッシュドライブを通じて有毒な
ソフトウェア
を伝播させた。これらの破損した媒体は、USBFect感染(サイバーセキュリティ用語ではHIUPANとしても知られている)を主権機関のネットワークに持ち込んだ。起動時に、プログラムはPUBLOADバックドアを強制的にインストールし、ネットワークタペストリー全体の補助的な計算ノードに急速に転移していった。
この悪質なアーキテクチャは、リムーバブルストレージの導入を警戒深く監視し、それらに執拗に複製することで、無害なフラッシュドライブをデジタル戦争の強力な手段に変えた。PUBLOADを用いて、悪役たちはシステムインテリジェンス(装置の命名法、ユーザーID、ディスクパラメータを含む)を収集し、この情報を暗号化した上で、彼らの主権的なコマンドサーバーに送信した。この執拗な地下活動は2ヶ月以上続き、8月の終わりまで伸びていった。
調和のとれた並行として、CL-STA-1048とCL-STA-1049という名前の2つの補足的な一団が、全く同じデジタル聖域内で活動していた。しかし、彼らの戦術的教義は大きく異なっていた。
CL-STA-1048はより粗暴で執拗な執念で活動した。攻撃者たちは防御的な防壁を回避するための必死の試みの中で、膨大な武器を次々と投入した。多くのプログラムが同時に動員された:EggStremeFuelバックドア、Masolリモートアクセストロイの木馬、EggStremeブートローダー、およびキーストロークロギング機能を備えたGoremスパイモジュール。その後、データ流出のために設計されたTrackBakという手段が攻撃に統合され、顧客の運用履歴、クリップボード内容、および物理ドライブからのアーカイブを綿密に収集した。
このような迷路のような武器は、いかなる可能な代価においても、アーキテクチャ内に根を張るための絶対的で譲歩しない必死さを雄弁に証言している。これらの手段の一部は、Crimson Palaceキャンペーンおよび地政学的に中国の利益に直結するEarth Estriesシンジケートの機動と同じ系統を共有している。
対照的に、CL-STA-1049は精妙で手術的な精密さで活動していた。これらのデジタル略奪者たちは、新生のHypnosisブートローダーを巧みに正統的で正当なアンチウイルスリポジトリとして偽装させた。ライブラリ置換という迷路のような技巧を通じて、彼らは信頼されたプロセスの聖域内で有毒なコードを完全に起動させ、それによってまったく疑いを招くことがなかった。
このブートローダーはその後、FluffyGh0stトロイの木馬をインストールした。これは悪名高いGh0stリモートアクセストロイの木馬の深く変異した反復である。このアーキテクチャはシステムに対する絶対的でリモートな支配を与え、そのコマンドネクサスから補足モジュールを呼び出す能力を持っていた。彼らの通信を覆い隠すために、攻撃者たちはタイの商業企業に属する侵害されたドメインを乗っ取り、彼らのテレメトリーを無害で正当なトラフィックとして完璧に隠蔽した。
3つのシンジケートすべてがほぼ完璧な同期性で全く同じネットワークを徘徊していたことは、深く興味深い。同時に、彼らの武器と方法論は、Unfading Sea Hazeの活動および数多くの他の中国サイバー十字軍と部分的に交差していた。これらのクラスター間の明確で直接的な結びつきは依然として捕捉しがたいものだが、合致点は単なる偶然として却下するには余りにも顕著である。
結局のところ、これは一時的で孤立した小競り合いではなく、むしろ結晶化した目標によって固定された長期的で迷路のような作戦である。悪役たちはインフラを破壊したり麻痺させたりする欲望を抱いていなかった。代わりに、彼らはネットワーク内に完全に根を張り、インテリジェンスを収集し、彼らの秘密の支配を可能な限り長期間保持することに注力していた。
