長年活動しているサイバースパイグループの孔子(Confucius)は、Microsoft Windowsユーザーを標的としたキャンペーンで新たな手法を導入しました。
2013年に初めて確認されたこのグループは、南アジア、特にパキスタンの政府機関、防衛請負業者、重要産業を一貫して標的にしてきました。
窃取ツールからPython攻撃へ
FortiGuard Labsの最新調査によると、孔子グループは、WooperStealerのようなドキュメント中心の窃取ツールから、AnonDoorのようなより高度なPythonベースのバックドアへと手法をシフトしています。
「今回のFortiGuard Labsのレポートは、脅威アクターがセキュリティ研究コミュニティの検知技術を上回るために、常に手法を適応させていることを示しています」とBambenek Consulting社長のジョン・バンベネック氏は述べています。
「特に、Pythonツールの使用は、スクリプト言語内での悪意ある活動の検知が依然として困難であるという点を突いています。多様な難読化技術が存在し、Pythonはあらゆる場所で日常的に使われているため、攻撃者は新たなツールやバイナリをインストールすることなく、その力を活用できるのです。」
FortiGuardの研究者は、2024年12月から2025年8月の間に複数の攻撃チェーンを観測しました。
初期の作戦では、悪意あるOfficeドキュメントやLNKファイルを用いたスピアフィッシングにより、WooperStealerを配布していました。このツールは、ドキュメント、スプレッドシート、画像、メールなど幅広い機密ファイルを外部に送信していました。
しかし2025年中頃には、孔子グループは新たなアプローチを採用します。単なるデータ窃取に依存するのではなく、長期的な持続性とコマンド実行機能を持つAnonDoor Pythonバックドアを展開し始めました。AnonDoorは、スクリーンショットの取得、ファイル一覧の取得、データのダウンロード、ブラウザのパスワードのダンプなどの操作を可能にします。
南アジアのサイバースパイ活動についてさらに読む:インフォスティーラー取り締まりで2万件のアジアIP・ドメインが無効化
回避と持続化のテクニック
FortiGuard Labsは、グループが持続化と検知回避を実現するために複数の手法を重ねていることを詳細に説明しています。
これには以下が含まれます:
-
正規実行ファイルを利用したDLLサイドローディング
-
難読化されたPowerShellスクリプトによる実行環境のインストール
-
隠されたペイロードを繰り返し実行するためのスケジュールタスク
-
ネットワーク上のノイズを最小限に抑えるステルスなデータ送信ルーチン
これらの手法により、グループは運用の柔軟性を維持し、シグネチャベースの検知に依存するセキュリティツールを回避できました。
拡大する能力
従来のドキュメント窃取に特化したキャンペーンとは異なり、AnonDoorはホスト全体のプロファイリングが可能です。システム情報の収集、公開IPのジオロケーション、ディスクボリュームのインベントリを行い、コマンド&コントロール(C2)サーバーからの指示を待ちます。
研究者は、これらの活動がパキスタンの標的に合わせて調整されていることを発見し、地域に特化した目的が示唆されるとしています。
「このキャンペーンは孔子グループの技術的な機動力を浮き彫りにしています」とFortiGuardは記し、グループが異なるマルウェアファミリーや配信手法を迅速に切り替えてアクセスを維持できることを指摘しています。
レポートは、孔子グループの多層的な攻撃チェーンが、より持続的かつステルス性の高いスパイ活動への明確な進化を示していると結論付けています。
アナリストは、国家関与が疑われるグループが手法を洗練させ続ける中、こうした戦術への警戒が引き続き重要であると警告しています。
翻訳元: https://www.infosecurity-magazine.com/news/confucius-shifts-doc-stealers/
