世界中の重要インフラが、高度に組織化された国家による「スパイ・エコシステム」の脅威にさらされています。このような緩やかなつながりを持ちながらも十分な資金を持つ組織は、重要なサービスの妨害と情報収集の両方を目的としたさまざまなツールを展開しています。中には、輸送や通信のハブ、商業的なサプライチェーンに対して専用のサービス妨害(DDoS)攻撃を仕掛ける組織もあります。また、地政学的、軍事的、経済的な優位性を求め、機密情報のマイニングに長け、従来のセキュリティ対策を迂回することに長けている者もいます。すべてが標的であり、安全な場所はどこにもありません。
では、スパイ活動のエコシステムとはどのようなもので、どのように機能しているのでしょうか?このブログでは、最近の例を示します。
10年以上もの間、インド政府と防衛組織は絶え間ないデジタルシャドーの下で活動してきました。その背後には、Transparent Tribe(APT36)や密接に連携するSideCopyクラスターを筆頭に、緊密に結びついたスパイ活動のエコシステムが存在し、調査、適応、持続を続けてきました。個々のキャンペーンは行ったり来たりしていますが、その根底にある目的は、ステルス性のある弾力的なアクセスによる長期的な情報収集であることに変わりはなく、持続的な防御努力の重要性が強調されています。
これらの行為者は派手ではありません。その代わりに、実績のある手口、スピアフィッシング、武器化された文書、カスタムと市販のリモートアクセス型トロイの木馬を組み合わせて、標的の環境に静かに潜入します。しかし、時が経つにつれ、彼らのツールは着実に進化しています。クロスプラットフォームのペイロード、メモリ常駐型の実行、そしてますます密かになるコマンド・アンド・コントロール・チャネルは、現在、スピードよりも忍耐力を重視したエコシステムのバックボーンを形成しており、防御者は絶えず適応する必要があります。
活動の急増:私たちが見たもの
Aryaka Threat Research Labs は、過去 1 か月間にわたり、Windows と Linux の両方の環境において、インドの防衛および政府関連組織を標的とした複数の活発なキャンペーンを観測しました。これらのキャンペーンの焦点の詳細は、地域のセキュリティ部門が直面している永続的な脅威の状況を強調しています。
Windows キャンペーン:GETA RAT via Living-Off-the-Land Abuse
あるアクティブなキャンペーンでは、LNKおよびHTAファイルを配信するフィッシングメールを使用して、Windowsシステムを標的としていました。これらのファイルは最終的に、SideCopyクラスタに頻繁にリンクされる.NETベースのリモートアクセス型トロイの木馬であるGETA RATを展開します。この感染チェーンは、mshta.exe、XAMLのデシリアライズ、インメモリペイロードの実行など、正規のWindowsコンポーネントを悪用し、従来のファイルベースの検出を回避します。
攻撃者は、持続性を実現するために、感染経路に障害が発生しても継続的にアクセスできるように、起動メカニズムを何重にも重ねました。その結果、軽量でありながら耐久性に優れ、長期的な偵察や情報収集に適した足場が完成しました。
Linuxキャンペーン:ARES RATとシステムレベルの持続性
これと並行して、Transparent Tribe が成熟度を増している分野である Linux 環境に焦点を当てた別のキャンペーンも実施されました。この作戦では、Goベースのダウンローダーを使用して、APT36の活動と歴史的に関連するPythonベースのリモートアクセスツールであるARES RATをインストールしました。
ARES RATは配備されると、自動化されたシステム・プロファイリング、再帰的なファイル列挙、構造化されたデータ流出を実行しました。このマルウェアは、systemdユーザー・サービスによって永続性を実現し、通常のシステム運用に溶け込みながら再起動を生き延びることができます。このキャンペーンは、Linux を後回しにするのではなく、プラットフォーム間で同等性を維持しようという意図を明確に示しています。
新たなツール:デスクRATの登場
Aryaka Threat Research Labs は、既知のマルウェア ファミリ以外にも、悪意のある PowerPoint アドイン(PPAM)を介して配布される Go ベースのリモートアクセス型トロイの木馬、Desk RAT を配信するキャンペーンを観測しました。この新たなツールを強調することは、脅威行為者の継続的な技術革新と最新の検出戦略の必要性を強調するものです。
Desk RAT は、ホストの遠隔測定とリアルタイム監視に重点を置いている点が特徴です。詳細なシステム診断を収集し、WebSocketベースのコマンド&コントロールを使用してオペレータと通信し、構造化されたハートビートおよびクライアント情報メッセージを交換します。この設計により、侵害されたホストの継続的な状況認識が可能になり、APT36の長期的な監視目的が強化されます。
全体像
これらのキャンペーンを総合すると、おなじみの、しかし進化しつつある物語が強化されます。Transparent TribeとSideCopyは、スパイ活動を再発明しているのではなく、スパイ活動に磨きをかけているのです。クロスプラットフォームのカバレッジを拡大し、メモリ常駐技術に傾倒し、新たな配信ベクトルを実験することで、このエコシステムは戦略的焦点を維持しながら、ノイズフロアの下で活動を続けています。
防御側にとって、これらは孤立したインシデントではなく、成熟した脅威のエコシステムの中での協調的な取り組みであることは明らかです。このような行為者を検知し、阻止するためには、プラットフォーム全体にわたる可視化、微妙な行動シグナルへの注意、そして攻撃者の最大の武器は持続性であり、スピードではないことを理解することが必要です。
報告書全文はこちら