概要
Cisco Talosは2026年5月、中国系APTグループ「UAT-8302」による大規模なサイバースパイキャンペーンの詳細を公表した。このグループは2024年末から南米の政府機関を、2025年からは東南ヨーロッパの政府機関を標的に継続的な侵入活動を展開している。UAT-8302の特徴は、複数の中国系APTグループ間で共有・流通するマルウェアを組み合わせて使用する点にあり、中国のサイバー攻撃エコシステムにおける「ツール共有モデル」の存在を裏付ける事例として注目されている。
初期侵入にはWebアプリケーションを狙ったゼロデイおよびN-dayエクスプロイトが疑われており、侵害後は広範なネットワーク偵察、自動スキャン、ラテラルムーブメント、バックドア・プロキシインフラの展開という段階的な手順を踏む。
マルウェア・ツールの詳細
UAT-8302が使用するツール群は多岐にわたり、複数の中国系脅威クラスターとの重複が確認されている。
主要バックドアとして、**.NET製バックドア「NetDraft(NosyDoor)」**が挙げられる。これはFINALDRAFTのC#実装であり、Ink Dragon・Earth Alux・Jewelbug・REF7707といった複数のグループが過去に展開した実績を持つ。また、CloudSorcerer v3.0 は2024年5月からロシアの組織を標的に使用が観測されていたもので、同グループのキャンペーンにも登場した。VShell はSNOWLIGHTやSNOWRUSTといったステージャーによって配送されるペイロードであり、UNC5174・UNC6586・UAT-6382などの複数のUNCグループによる利用が確認されている。
補助ツールとして、Linuxに特化したステージング用のSNOWLIGHTおよびSNOWRUST(Rustバリアント)、ShadowPadの後継とされるDeed RAT(Snappybee)、Earth Estriesが展開してきたZingdoor、CrowdoorやHemiGateを配送するシェルコードローダーDraculoaderなども確認されている。さらに、持続的なバックドアアクセスのためにStowaway・SoftEther VPN、自動化されたネットワークスキャンにgogo(オープンソースツール)が活用されている。
APTグループ間のツール共有という新たな脅威モデル
今回の調査で特に注目されるのが、中国系APTグループ間でのマルウェア共有という組織的な協力体制の存在だ。NetDraftはESETが追跡するLongNosedGoblinや、ロシアのIT企業を標的とする**Erudite Mogwai(Space Pirates)**によっても同時期に使用されていた。また、SNOWLIGHTはUNC5174・UNC6586・UAT-6382でも確認されている。
Trend Microは2025年10月、この構造を**「Premier Pass-as-a-Service(プレミア・パス・アズ・ア・サービス)」モデル**として詳述している。Earth Estriesが初期アクセスを取得しEarth Nagaへ引き渡すような形で、組織化された階層型の攻撃エコシステムが中国系脅威アクター間に形成されていると指摘されている。帰属の根拠としては、ツールの重複、マルウェアファミリーの関連性、中国系のインフラパターンが挙げられており、複数のサードパーティ機関も当該アーティファクトを「中国系または中国語を話すアクター」に関連づけている。
まとめと今後の展望
UAT-8302のキャンペーンは、中国のサイバースパイ活動が単一グループによる単独行動から、複数のAPTグループが役割分担・ツール共有を行う連携型エコシステムへと進化していることを示している。防衛側にとっては、既知のマルウェアシグネチャへの依存だけでなく、共有インフラや行動パターン(TTP)に基づく検知戦略の強化が求められる。南米・東欧の政府機関を狙ったこの活動は、地政学的な諜報収集目的が背景にあるとみられており、今後もターゲット地域の拡大が懸念される。