中国系グループSilver Foxが税務フィッシングで新型バックドア「ABCDoor」を展開、インド・ロシア標的に

概要

Kaspersky の研究者らは2026年4月末、中国系サイバー犯罪グループ「Silver Fox」（Void Arachne とも呼称）が、税務当局になりすましたフィッシングメールを媒介として新型バックドア「ABCDoor」を展開するキャンペーンを詳細に分析・公表した。2026年1〜2月の観測期間中に1,600件超のフィッシングメールが検出されており、インドとロシアで最も高い感染率が記録されているほか、インドネシア、南アフリカ、カンボジア、日本も標的圏に含まれている。

攻撃チェーンの構造

攻撃は段階的なローダーチェーンで構成されている。まず税務当局通知に偽装したフィッシングメールを通じて被害者にアクセスし、最初のペイロードとして RustSL Loader を投下する。このローダーはXORベースの復号処理を実装するほか、ジオフェンシングによる国別フィルタリングとサンドボックス検出機能を備え、解析妨害を強化している。

RustSL Loader が起動すると既知の中国語バックドア ValleyRAT が展開され、ValleyRAT のカスタムモジュールを経由してさらに新型バックドア ABCDoor が配信される。これら複数段階のコンポーネントを組み合わせることで、初期侵入から長期潜伏への移行を効率化している。

ABCDoor の技術的特徴

ABCDoor は Python で実装されており、C2（コマンド＆コントロール）通信に asyncio および Socket.IO ライブラリを活用している点が特徴的だ。標準的なコマンドシェル機能は持たず、代わりにスクリーンショット取得・リモート画面ブロードキャスト・キーボードとマウスの制御・ファイルシステム操作といった機能に特化している。永続化にはWindowsレジストリのRunキー（AppClient）と毎分実行されるタスクスケジューラタスクが利用される。なお、ローダー段階のRustSLには、シャットダウン信号を傍受して再起動を誘発する新型の「Phantom Persistence」技術が実装されている点も観測されている。これらの機能は長期的な監視と情報窃取を主目的としたものであり、標的組織への静かな侵入継続を意図していると分析されている。

背景と影響

Silver Fox は以前から ValleyRAT を中心に据えた攻撃キャンペーンを展開してきたグループだが、今回の ABCDoor 投入はツールセットの高度化と地理的拡大を示している。税務シーズンを狙ったソーシャルエンジニアリングは成功率が高く、インドやロシアの企業・政府機関が主要ターゲットとなっている。今後も税務通知に偽装した攻撃が他地域に波及する可能性があり、正規の税務機関からの通知であってもリンクや添付ファイルの取り扱いには慎重な対応が求められる。