速報 中国に関連した新しい脅威グループが、ポーランドとアジア諸国の12以上の重要ネットワークに潜入し、2024年12月から活動が確認されており、最近は今月でも活動が発見されています。
私が懸念しているのは、彼らが残しているものです。これらの環境にはどのような睡眠サイクル状態のC2が潜んでいるのか?
The Registerに独占的に共有されたレポートによると、Shadow-Earth-053として追跡されている新しいグループは、政府機関、防衛請負業者、技術企業、および運輸業界を標的としていたとTrendAIの研究者は述べています。中国のスパイたちは通常、脆弱なMicrosoft Exchange Serversを通じて被害者環境への初期アクセスを得ます。
これらの侵入の「複数」のケースでは、彼らはShadowPadをデプロイする前に、被害組織に最大8ヶ月間潜入していました。ShadowPadはカスタムバックドアで、中国のAPT41がほぼ10年間使用しており、2019年以来複数の中国関連グループ間で共有されています。
被害者の約半分は、同じ脆弱性を悪用し、Shadow-Earth-053と同一のツールハッシュと重複する手法を共有していた関連グループのShadow-Earth-054によっても侵害されていました。054グループはPalo Alto Networks’ Unit 42によってCL-STA-0049と追跡されている中国クルーや、Elastic Security LabsによってREF7707と、Earth Aluxとして知られる組織とネットワークオーバーラップを持っています。
TrendAI AI セキュリティおよび脅威リサーチ担当VP のTom Kellermanは、新しい中国グループをSalt TyphoonおよびVolt Typhoonに例えました。
Salt Typhoonは通信企業および政府機関をハッキングして、2019年にさかのぼる被害者組織への隠れた長期的なアクセスを獲得しました。Volt Typhoonは2021年中盤に現れ、重要な米国ネットワークに深く潜入して、将来の破壊的な攻撃のための準備を整えました。これらのハッキングキャンペーンはどちらも2023年末まで明らかになりませんでした。
「Shadow-Earth-053はShadow-Earth-054に続いて、米国と一致し台湾の独立を支持する国家の防衛産業と防衛省に対する偵察と潜入を実施しました」とKellermanはThe Registerとの独占インタビューで述べました。
「私が懸念しているのは、彼らが残しているものです。これらの環境にはどのような睡眠サイクル状態のC2が潜んでいるのか?彼らがすでにワイパーまたは破壊的な機能を配置しているかどうか」とKellermanは続けました。「彼らはTyphoonキャンペーンの足跡をたどっており、Typhoonキャンペーンの弟妹のように見えており、防衛セクターと国家の省庁全体で島伝いに移動している理由がある」
TrendAIの調査によると、Shadow-Earth-053の被害者は少なくとも8ヶ国に及んでいました。観測された目標の大部分はパキスタン、タイ、マレーシア、インド、ミャンマー、スリランカ、台湾に位置していましたが、少なくとも1つの目標(防衛セクター組織)はポーランドにありました。
Kellermanはまた、ネットワーク侵入者が来月の米国トランプ大統領と中国習近平主席のサミットに細心の注意を払っていることを示唆しました。
「Volt Typhoonは基本的に重要なインフラ、エネルギーセクターなどへの無制限のアクセスを持っていました。それはすべて継続的なスパイ行為の目的でしたが、最も重要なのは、地政学的緊張が高まった場合に備えた破壊的攻撃などの破壊能力を維持することでした」とKellermanはThe Registerとの独占インタビューで述べました。「ここにいて、トランプ大統領と習近平主席の5月14日と15日の会議が近づいており、神が禁じたまえ、15日が悪い方に転じた場合」
Exchangeサーババグ:与え続けるギフト
Shadow-Earth-053は通常、外部サービスを悪用して対象ネットワークをハッキングします。数年前のProxyLogon(CVE-2021-26855)は、他のMicrosoft Exchange Serverバグ(CVE-2021-26857、CVE-2021-26858、CVE-2021-27065)と組み合わせてリモートコード実行を実現できるお気に入りのツールです。
Salt Typhoonおよび他の中国政府スパイ機関もProxyLogonを悪用して、2021年に最初に公開された際に重要な米国ネットワークに侵入し、それ以来最も悪用される脆弱性のままです。ですから、まだパッチを当てていなければ、これらのExchangeサーババグにパッチを適用してください。
サーバを侵害した後、Shadow-Earth-053はWebシェルをインストールします。Godzillaはこのグループおよび他の中国ベースのクルーで一般的に使用されているもので、その後ShadowPadバックドアをデプロイします。
1つのインスタンスでは、スパイたちは正当な一般的なリモートデスクトップツール「AnyDesk」を通じてShadowPadマルウェアを配信しました。TrendAIは、これが攻撃者が以前の侵害を使用したか、盗まれた認証情報を悪用したことを示唆していると述べています。「この侵害についての可視性が限定されているため、これが代替初期アクセス方法を表すのか、観測されていないエントリポイント後の後期段階のデプロイメントを表すのかを判断することはできません」と著者たちは記述しました。
影のマルウェアと正当なWindowsツール
別のインスタンスでは、インシデント対応者はLinux NoodleRatバックドアを発見しました。これは中国のスパイ活動とサイバー犯罪グループによっても広く使用されており、Shadow-Earth-053が別の広く悪用されているMicrosoftセキュリティホールReact2Shell(CVE-2025-55182)を悪用した後にデプロイされました。これはReact Server Componentsの重大な欠陥で、攻撃者が脆弱なサーバで任意のコードを実行することを可能にします。
グループはネットワーク上で検出されることを回避し、悪意のあるトラフィックが正当に見えるようにするための措置を講じています。1つの被害者環境では、TrendAIがRingQを検出しました。これは中国で開発されたオープンソースツールでGitHubで利用可能であり、悪意のあるバイナリをパックしてセキュリティソリューションによる検出を回避するために使用できます。侵入者はまた、製品やセキュリティ企業をなりすましたドメイン名や、DNSプロトコルに関連するドメイン名を使用します。
場合によっては、グループはプロセスベースの検出を回避するために正当なWindowsシステムバイナリの名前を変更しました。
「彼らは私たちが以前見たことのあるツールを使用しており、ノイズに埋もれるためにそれを意図的にしていると思います」とKellermanは述べました。
被害者環境全体を横方向に移動するために、Shadow-Earth-053はWindows Management Instrumentation Command-line(WMIC)を使用し、追加のホストにバックドアをインストールします。1つの環境では、グループは既存の管理認証情報を使用して追加の内部Exchangeサーバにウェブシェルを伝播させ、Evil-CreateDumpなどのツールを使用して侵害されたシステムを移動する際に認証情報を収集し続けています。
NATO加盟国ポーランドをターゲットにすることは「サイバー諜報とサイバー戦争が急速に成長していることを浮き彫りにしている」とKellermanは述べました。「そして、それが成長しているだけでなく、これはスパイ行為だけでなく、必要に応じて長期的な破壊行為のためにこれらのインフラストラクチャを支配する目的で、これらのアセットを直接配置することです」®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/04/30/chinese_spies_lurking_networks/
