5分で読める
出典:Marc Anderson via Alamy Stock Photo
BLACK HAT ASIA – シンガポール – Tropic Trooperとして知られる中国関連の高度な持続的脅威(APT)は、ターゲットのホームWi-Fiネットワークを侵害することを含む奇妙なスピアフィッシング活動により、戦術、技術、および手順(TTP)を変更しているようです。
Tropic Trooper(別名:Pirate Panda、KeyBoy、APT23、Bronze Hobart、Earth Centaur)は2011年以降、活動を続けています。同グループは歴史的に台湾、フィリピン、香港の政府、軍事、医療、輸送、およびハイテク組織をスパイしてきたもので、最近、研究者らは中東における単一のキャンペーンも発見しました。しかし、最新の活動は日本、台湾、韓国などの新しい地域での特定の個人を標的としており、最近の分析によれば、運用方法だけでなく被害者プロファイルの拡大も示しています。
日本のセキュリティ企業伊藤忠サイバー&インテリジェンスの脅威研究者によると、同グループの特徴の1つは、標的とされたオフィスに物理的に偽のWi-Fiアクセスポイントを配置するなどの非従来的な侵入ベクトルを使用する傾向です。同グループはまた、新規でオープンソースのマルウェアを急速に採用することで知られており、研究者が進化に追いつくことを困難にしています。これは最新のキャンペーンにも当てはまり、伊藤忠とZscalerの調査により、攻撃チェーン内のさまざまな創意工夫のあるアプローチと新しいマルウェア要素が発見されています。
ホームWi-Fiルーター経由のサイバー侵害
シンガポールでのBlack Hat Asiaでの今週のセッション「Tropic Trooper Reloaded: Unraveling the Invisible Supply Chain Mystery」では、伊藤忠の研究者である石丸傑と亀川聡が、幽霊のような活動により供給チェーン侵害においてマルウェアが配信された詳細を説明しました。つまり、マルウェアがどこから発生したかについての兆候がありませんでした。
「私たちはCobalt Strikeビーコンを配信する複雑な感染チェーンを発見しました。このビーコンは2024年以降Tropic Trooperが使用しているウォーターマーク(520)を使用しており、グループの活動の識別子として使用できます」と石丸がステージから説明しました。「しかし、それはサプライチェーンの謎でした。被害者は、よく知られた辞書アプリを更新するために正当な実行可能ファイル(youdaodict.exe)をダウンロードしたようで、ダウンロードされた更新には2つの非常に小さなファイルがあり、その中に非常に疑わしい.xmlファイル【感染源】がありました。しかし、更新が最初にどのように侵害されたのかについては不明でした。」
フォローアップ調査により、ターゲットのホームルーターに不正な変更が加えられ、マルウェア感染が発生したことが示されました。
「1年後、同じホストが同じ感染ルーチンで再度侵害され、調査を再開したところ、ソフトウェア更新のDNS改ざんがありました」と石丸は説明しました。「正当なドメインと実行可能ファイルがありましたが、実際のIPは変更されていました。DNS ハイジャックはどこで発生していたのでしょうか。私たちはそれを被害者のホームルーターに遡り、侵害されていて、DNS設定が攻撃者のサーバーを指すように上書きされていました「エビルツイン」攻撃として。」
これは、Tropic Trooperがオフィス環境外の個人デバイスを標的にすることに関心があることを示しており、APTの新しいリスク プロファイルが重層化されていると彼は追加しました。ただし、これはAPTがその戦略を混ぜるのにかかわるいわゆる氷山の一角に過ぎません。
Tropic Trooper:サイバースパイ活動のための進化するマルウェアツールセット
調査は伊藤忠の亀川からの追加の成果をもたらしました。
「アーティファクトを検索し、Signalおよびその他のアプリの認証ページを模倣した新しいマルウェアセットとフィッシングページを含む48個のファイルを含む公開されたAmazon S3バケットを発見しました」と彼はセッション中に説明しました。「Tropic Trooperが日本、台湾、韓国の高いプロファイルを持つ個人をカスタマイズされた張り子ファイルで標的にしていることは明らかです。これらは彼らが運用スコープを拡大していることを示す新しい標的です。」
APTは時々IPアドレスとファイル名を再利用するため、研究チームはコマンドアンドコントロール(C2)ファイル名をブルートフォースし、結果的にグループのサイバー攻撃兵器庫内に潜んでいる新しいマルウェア族を発見しました。
「合計して、私たちは5つの異なる.datファイルを取得しました。これらは暗号化されたペイロードでした」と亀川は説明しました。「これらを復号化し、DaveShellとDonut loaderを含む新しいマルウェアを見つけました。これらはTropic Trooper活動で初めて観察される2つのオープンソースローダーです。Merlin AgentとApollo Agentは、Mythics AgentsオープンソースC2フレームワークの一部であるGoベースのリモートアクセストロイの木馬(RAT)です。そしてC6DOORは、Goでコンパイルされた単純な[カスタム]バックドアです。」
さらに、Tropic Trooperは、EntryShellバックドア、大きく難読化されたXiangoop loader variant【PDF】(特徴的なカスタムマルウェア族)、および前述のウォーターマーク付きCobalt Strikeビーコンを含む、既知の古いツールを使用し続けています。
一方、Zscaler ThreatLabzもグループの最新活動を追跡しており、今週詳細に発表しました。軍事テーマのドキュメント おとり の悪意あるZIPアーカイブの発見。これらは伊藤忠の発見と相補的で、日本、韓国、日本の中国語話者を標的としていました。ThreatLabz研究者が観察したキャンペーンは、トロイの木馬化されたSumatraPDFバイナリを使用してAdaptixC2ビーコンおよび最終的にVS Codeを標的マシンに展開しました。
全体として、Tropic Trooperが急速なペースでツールセットを継続的に反復し、地理的により広い網を投じていることは明らかであり、これは地域内の組織が注意を払う必要があることを意味しています。Zscalerのブログには、この活動を監視するための長いインジケーター・オブ・コンプロマイズ(IoC)のリストが含まれています。
「2025年の調査に基づいて、張り子を含むいくつかの新しいマルウェア族、ツールセット、および注目すべきアーティファクトが特定され、グループの拡大する地理的フットプリントと標的となる産業についての新鮮な洞察が提供されました」と伊藤忠の研究者はBlack Hat Asiaセッションの補足資料で説明しました。「最近の活動は感染チェーン内のオープンソースベースのツールへの顕著なシフトを明らかにしています。これらの発見は、アクターのツール戦略の急速な変化を強調し、短期間内に方法をピボットして見直す能力を実証しています。」
