中国との関連が疑われる攻撃者が、2025年12月下旬から2026年2月下旬にかけてアゼルバイジャン石油・ガス会社に対して「多層的な侵入」を行ったことが関与したとされています。このキャンペーンは、グループの標的範囲の顕著な拡大を示しています。 **FamousSparrow**（別名UAT-9244）は、**Bitdefender**によって中〜高確度で特定されています。このグループは、Earth EstriesおよびSalt Typhoonとして追跡されているクラスターと戦術的な重複を示しています。 攻撃には、3つの別々の波にわたって2つの異なるバックドアが展開されました。**Deed RAT**（別名Snappybee）は、複数の中国関連のスパイ活動グループによって使用されているShadowPadの後継であり、**TernDoor**は2024年以降、南米の電気通信インフラを標的とした攻撃で最近発見されました。 ### Microsoft Exchangeの脆弱性の執拗な悪用 特筆すべきは、このキャンペーンが、修復の試みにもかかわらず、同じ脆弱な**Microsoft** Exchange Serverのエントリーポイントを繰り返し悪用したことです。攻撃者は、その都度バックドアを入れ替えました。2025年12月25日にDeed RAT、2026年1月下旬/2月上旬にTernDoor、そして2026年2月下旬に修正されたDeed RATです。攻撃者は、初期アクセスを得るためにProxyNotShellチェーンを悪用したと考えられています。 **Bitdefender**はレポートで次のように述べています。「この標的設定は、アゼルバイジャンが2024年のロシアのウクライナ経由ガス輸送契約の失効と2026年のホルムズ海峡の混乱を受けて、欧州のエネルギー安全保障において重要な役割を果たしている地域へのFamousSparrowの既知の被害者リストを拡大するものです。」 「この侵入は、攻撃者が元の脆弱性がパッチ適用され、侵害された認証情報がローテーションされ、攻撃者の復帰能力が完全に阻止されるまで、同じアクセス経路を悪用し、再悪用することを示しています。」  ### 高度なDLLサイドローディング技術 初期アクセス後、永続的なアクセスを確保するためのWebシェル展開の試みが行われ、最終的に進化させたDLLサイドローディング技術を使用してDeed RATを展開しました。この技術は、正規のLogMeIn Hamachiバイナリを利用して、メインのペイロードの実行を担当する不正なDLLをロードして起動します。 **Bitdefender**は次のように説明しています。「単純なファイル置換に依存する標準的なDLLサイドローディングとは異なり、この方法は悪意のあるライブラリ内の2つの特定の公開関数を上書きします。これにより、ホストアプリケーションの自然な制御フローを通じてDeed RATローダーの実行をゲートする2段階のトリガーが作成され、従来のDLLサイドローディングの防御回避能力がさらに進化しています。」 攻撃には、侵害されたネットワーク内でのアクセスを拡大し、冗長な足場を確立するためのラテラルムーブメントも含まれていました。 最初の侵入から約1ヶ月後の第2波では、攻撃者はDLLサイドローディングを使用して、GroundPeonyに起因するとされるシェルコードローダーであるMofu Loader経由でTernDoorを展開しようとしました。 アゼルバイジャンの企業は、2026年2月末頃に3度目の標的となり、攻撃者はDeed RATの修正バージョンを展開しようとしました。これは、マルウェアアーセナルを洗練させるための努力を示しています。このアーティファクトは、コマンドアンドコントロール（C2）のために「sentinelonepro [.] com」を使用しています。 ### 持続的かつ適応的な運用 **Bitdefender**は次のように結論付けています。「この侵入は、孤立した侵害としてではなく、攻撃者が被害者環境内でのアクセスを回復および拡張しようと繰り返し試みた、持続的かつ適応的な運用として見られるべきです。複数の波にわたる活動を通じて、同じアクセス経路が再訪され、新しいペイロードが導入され、追加の足場が確立され、高いレベルの持続性と運用規律が強調されています。」