**Tropic Trooper**（別名APT23、Earth Centaur、KeyBoy、Pirate Panda）は、台湾、香港、フィリピンの組織を標的としてきた実績のあるハッキンググループであり、この最近の活動の背後にいると考えられています。**Zscaler ThreatLabz**は先月このキャンペーンを発見し、少なくとも2011年から活動しているこのグループに高い確信度で帰属させています。 ### AdaptixC2 BeaconとGitHub C2 セキュリティ研究者のYin Hong Chang氏は分析の中で、「攻撃者はカスタムAdaptixC2 Beaconリスナーを作成し、**GitHub**をコマンド＆コントロール（C2）プラットフォームとして活用しました」と述べています。これは、容易に入手可能なリソースを悪意のある目的のために適応させるという、戦術における戦略的なシフトを示しています。 このキャンペーンは、台湾の中国語話者、および韓国と日本の個人を標的としていると考えられています。攻撃は、軍事関連の文書を含むZIPアーカイブから始まります。このアーカイブを開くと、偽のSumatraPDFのバージョンが起動し、デコイPDF文書を表示すると同時に、ステージングサーバーから暗号化されたshellcodeを取得してAdaptixC2 Beaconを起動します。 ### TOSHIS Loaderと多段階攻撃 バックドア化された**SumatraPDF**実行可能ファイルは、TOSHISというコードネームで呼ばれるローダーの改変版を起動します。これはXiangoopのバリアントです。Xiangoopは、以前**Tropic Trooper**と関連付けられていたマルウェアであり、MythicフレームワークのCobalt Strike BeaconやMerlinエージェントのようなpayloadを取得するために使用されてきました。  ローダーは多段階攻撃を開始し、注意をそらすためのルアー文書と、バックグラウンドでAdaptixC2 Beaconエージェントをドロップします。このエージェントはC2に**GitHub**を使用し、攻撃者のインフラストラクチャと通信して、侵害されたホストで実行するためのタスクを受信します。 ### VS Codeトンネルによるリモートアクセス 被害者が価値があると判断されると、攻撃はエスカレートします。この時点で、攻撃者は**VS Code**を展開し、リモートアクセスのためにVS Codeトンネルをセットアップします。特定のマシンでは、トロイの木馬化されたアプリケーションがインストールされており、おそらく活動を隠蔽するためです。 ステージングサーバー（「158.247.193[.]100」）は、Cobalt Strike Beaconと、**Tropic Trooper**が以前使用していたツールであるEntryShellというカスタムバックドアもホストしていることが確認されています。 ### 戦術のシフト **Zscaler**は、「TAOTHキャンペーンと同様に、公開されているバックドアがpayloadとして使用されています」と指摘しています。「以前はCobalt Strike BeaconとMythic Merlinが使用されていましたが、攻撃者は現在AdaptixC2にシフトしています。」