サイバーセキュリティ研究者たちは、複数の大陸にわたる重要インフラおよび政府機関を標的とする、中国発の高度なスパイ活動キャンペーンを発見しました。 ### SHADOW-EARTH-053：大陸を跨ぐスパイ活動 **Trend Micro**は、この脅威活動クラスターを**SHADOW-EARTH-053**と特定し、少なくとも2024年12月以降の活動を確認しています。このグループは、CL-STA-0049、Earth Alux、REF7707などの既知の脅威アクターとネットワークの重複が見られます。 研究者のDaniel Lunghi氏とLucas Silva氏によると、このグループはインターネットに公開されている**Microsoft Exchange**およびInternet Information Services (**IIS**)サーバーのN-day脆弱性を悪用しており、**ProxyLogon**のような脆弱性を利用しています。その後、持続的なアクセスを確保するために**Godzilla**のようなWebシェルを展開し、正規の署名付き実行可能ファイルのDLLサイドローディングを介して**ShadowPad**インプラントをステージングします。 標的はパキスタン、タイ、マレーシア、インド、ミャンマー、スリランカ、台湾であり、欧州ではポーランドが唯一特定された国です。 ### 攻撃チェーンと戦術 初期侵害は、既知のセキュリティ脆弱性を悪用してパッチが適用されていないシステムを侵害することから始まり、その後、持続的なリモートアクセスを可能にするGodzillaのようなWebシェルを展開します。これらのWebシェルは、コマンド実行、偵察、そして最終的には**AnyDesk**を介したShadowPadバックドアの展開のための発射台として機能します。このマルウェアはDLLサイドローディング技術を使用して起動されます。 ある事例では、**React2Shell**脆弱性（**CVE-2025-55182**）が、**Noodle RAT**（別名ANGRYREBELおよびNood RAT）のLinux版を配布するために使用されたと報告されています。**Google Threat Intelligence Group (GTIG)**は、この特定の攻撃チェーンをUNC6595として知られるグループに関連付けています。  IOX、GO Simple Tunnel (GOST)、Wstunnelのようなオープンソースのトンネリングツールも使用されており、悪意のあるバイナリのパッキングと検出回避のために**RingQ**が使用されています。権限昇格のために、**SHADOW-EARTH-053**は**Mimikatz**を利用し、ラテラルムーブメントはカスタムリモートデスクトッププロトコル（RDP）ランチャーと、[Sharp-SMBExec](https://github.com/checkymander/Sharp-SMBExec/)として知られるSMBExecのC#実装によって促進されます。 ### 緩和策 Trend Microは、「このキャンペーンで使用された主な侵入経路は、インターネットに公開されたIISアプリケーションの脆弱性でした」と述べています。同社は、Microsoft ExchangeおよびIISでホストされているWebアプリケーションに対して、最新のセキュリティアップデートと累積パッチを適用することを優先することを推奨しています。 即時のパッチ適用が不可能な場合は、既知のCVEに対するエクスプロイト試行をブロックするように特別に設計されたルールセットを持つ侵入防止システム（IPS）またはWebアプリケーションファイアウォール（WAF）を展開すること（仮想パッチング）を強く推奨します。 ### GLITTER CARPとSEQUIN CARP、活動家とジャーナリストを標的に **Citizen Lab**はまた、ジャーナリストや市民社会、特にウイグル、チベット、台湾、香港のディアスポラ活動家を標的とする、2つの異なる中国関連脅威アクターによる新たなフィッシングキャンペーンについても報告しています。これらのキャンペーンは2025年4月と6月に検出されました。 これらのクラスターは、国際調査報道ジャーナリスト連合（**ICIJ**）を標的とした**GLITTER CARP**と、ICIJジャーナリストのScilla Alecci氏や中国政府にとって重要な関心事であるトピックについて執筆している他の国際ジャーナリストを主な標的とした**SEQUIN CARP**と名付けられています。  Citizen Labは、これらのアクターがフィッシングメールで、知人やテクノロジー企業のセキュリティアラートになりすますなど、高度なデジタルなりすましスキームを採用していると指摘しています。標的となるグループは異なりますが、活動は一貫したインフラストラクチャと戦術を使用しており、複数の標的間で同じドメインやなりすまされた個人を頻繁に再利用しています。 **GLITTER CARP**は、広範なフィッシング攻撃に加えて、台湾の半導体産業を標的としたフィッシングキャンペーンにも関連付けられています。**SEQUIN CARP**は、**Volexity**によってUTA0388として追跡されているグループや、Trend MicroによってTAOTHとして詳細が説明されている侵入セットと類似性があります。 これらのキャンペーンは、認証情報収集、フィッシングページ、またはソーシャルエンジニアリングを通じてメールベースのアカウントへの初期アクセスを獲得し、標的を欺いてサードパーティのOAuthトークンへのアクセスを許可させることを目的としています。GLITTER CARPのフィッシングメールは、1x1トラッキングピクセルを使用してデバイス情報を収集し、メールが開かれたかどうかを確認します。 Citizen Labは、AiTMフィッシングキット（GLITTER CARP、UNK_SparkyCarp）の両方を使用して特定の組織を同時に標的としていることと、HealthKickの配信が観察されたことから、これらのグループ間の潜在的な重複を示唆していますが、正確な関係は不明のままです。 この調査ユニットは、デジタルな越境抑圧はますますアクターの分散ネットワークを通じて運営されており、標的は中国政府の諜報優先事項と一致していると結論付けており、中国国家によって雇用された商業エンティティの関与を示唆しています。