概要
Trend Microのセキュリティ研究者Daniel LunghiとLucas Silvaが報告した調査によると、中国との関連が疑われる脅威クラスター「SHADOW-EARTH-053」が2024年12月以降、アジア各国の政府・防衛機関を中心に広範なサイバースパイ活動を実施している。標的はパキスタン・タイ・マレーシア・インド・ミャンマー・スリランカ・台湾に及び、さらにNATO加盟国であるポーランドも含まれる。このクラスターはCL-STA-0049、Earth Alux、REF7707といった既知のグループとネットワーク上の重複が確認されており、中国国家と連携した組織的なスパイ活動の一環と見られている。
また、同時期に活動する別の中国系クラスター「GLITTER CARP」および「SEQUIN CARP」は、2025年4月から6月にかけて初めて検出され、国際調査報道ジャーナリスト連合(ICIJ)をはじめ、ウイグル・チベット・台湾・香港のディアスポラ問題に関わる市民社会団体を標的とするフィッシングキャンペーンを展開している。
攻撃手法とマルウェア
SHADOW-EARTH-053はインターネットに公開されたMicrosoft ExchangeおよびIISサーバーの既知脆弱性(ProxyLogonチェーン等のNデイ脆弱性)を悪用することで初期侵入を果たす。その後、「Godzilla」ウェブシェルを展開して持続的なアクセスを確保し、DLLサイドローディングを通じてShadowPadバックドアを標的システムに植え付ける。ラテラルムーブメントや情報収集には、IOX・GO Simple Tunnel(GOST)・Wstunnelといったトンネリングツールに加え、悪性バイナリのパックと検出回避に用いるRingQ、さらにMimikatz・Sharp-SMBExec・カスタムRDPランチャーが使用される。マルウェアとしてはGodzilla(ウェブシェル)、ShadowPad(バックドア)が用いられ、LinuxターゲットにはNoodle RAT/ANGRYREBELが確認されている。なお、別の中国系グループUNK_DropPitchは標的組織への同時攻撃でHealthKickを配信している。
一方、GLITTER CARPとSEQUIN CARPは1×1ピクセルのトラッキングピクセルを埋め込んだフィッシングメールを使い、AiTM(Adversary-in-the-Middle)キットによる認証情報の窃取やOAuthトークンの抽出を行う手口を採る。
帰属と背景
Citizen Labは、GLITTER CARPおよびSEQUIN CARPの両クラスターについて「中国国家に雇われた民間企業が背後にいた可能性について中程度の確信がある」と評価している。SHADOW-EARTH-053が複数の既知中国系グループと技術的・インフラ的な重複を持つことも、国家支援の組織的活動である可能性を裏付けている。こうした標的の選定——アジア各国の政府・防衛機関、NATO加盟国、ディアスポラ関連の人権活動家——は、中国の地政学的・外交的利益に沿った情報収集活動であることを示している。
推奨される対策
Trend Microは、組織に対してMicrosoftのセキュリティ更新プログラムを優先的に適用し、既知のCVEに対するバーチャルパッチを含むIPS/WAFソリューションを導入するよう呼びかけている。公開サーバーの定期的な脆弱性スキャンと、ウェブシェル検出のための継続的な監視体制の整備が重要となる。