2025年1月以降、中国のサイバー攻撃グループ「Silver Fox」は主に台湾の個人や組織を標的とした攻撃キャンペーンを展開している。
攻撃はDeepSeekのR1大規模言語モデルやWPS Office、Sogou検索エンジンなどの人気ソフトのインストーラーを装った偽サイトやフィッシングメールを用い、正規ソフトと同時にSainbox RATやGh0stRATといったマルウェアを感染させる。
攻撃手法にはDLLサイドローディングやBYOVDが用いられている。
医療・政府・産業分野を含む様々な組織が標的となっており、特定の業種だけでなく一般ユーザーにも被害が及ぶ可能性がある。
今回の攻撃キャンペーンは2025年6月下旬にNetskopeなど複数のセキュリティ企業によって発表された。
From:
Silver Fox Suspected in Taiwanese Campaign Using DeepSeek Lure
【編集部解説】
今回のSilver Foxによる攻撃キャンペーンは、台湾を中心に中国語話者全体へ広がりを見せています。攻撃者はDeepSeekのR1大規模言語モデルやWPS Officeなど、現地で人気の高いソフトウェアのインストーラーを偽装し、ユーザーを巧みに誘導しています。
実際には正規ソフトとともにSainbox RATやHidden rootkitがインストールされ、遠隔操作や情報窃取、検知回避など多様な機能が実現されます。
DLLサイドローディングやBYOVDといったWindowsの仕組みを悪用した攻撃手法は、近年のAPTグループで定番となっており、Silver Foxも積極的に活用しています。
AIやLLM(大規模言語モデル)など最新トレンドを悪用した攻撃が増加しており、今後も同様の手法が拡大する可能性があります。
信頼できる配布元からのみソフトウェアを入手することや、ネットワーク分離、ゼロトラスト運用、従業員教育など多層的な対策が不可欠です。
今回の攻撃が2025年6月下旬に複数のセキュリティ企業から発表されたことで、最新の脅威動向をタイムリーに把握できる機会となりました。
DeepSeekの事例は、新技術のリリースから攻撃への悪用まで数週間程度と、脅威の展開スピードが加速していることを示しています。
【用語解説】
サイドローディング(DLL sideloading):
正規アプリケーションと一緒に悪意あるDLL(ダイナミックリンクライブラリ)を配置し、アプリ起動時にそのDLLを読み込ませて不正コードを実行する攻撃手法。
BYOVD(Bring Your Own Vulnerable Driver):
攻撃者が既知の脆弱性を持つ正規ドライバを標的システムに持ち込み、カーネル権限の取得やセキュリティ回避を図る攻撃技術。
RAT(Remote Access Trojan):
遠隔操作型トロイの木馬。不正侵入者が感染端末を遠隔制御し、情報窃取や追加マルウェアの導入を行う。
Gh0stRAT:
2008年以降、中国系APTグループなどが広く利用するRAT。端末の画面キャプチャ、キーロギング、ファイル操作など多機能。
Sainbox RAT:
Gh0stRATの亜種。データ窃取や追加マルウェア導入などを行う。
Hidden rootkit:
オープンソースのルートキット。プロセスやファイル、レジストリの隠蔽など持続的な潜伏活動を支援する。
Silver Fox:
2024年から活動が確認されている中国系サイバー攻撃グループ。台湾を中心とした中国語話者を主な標的とし、日本在住の中国語話者も潜在的なリスクにさらされる可能性がある。
【参考リンク】
DeepSeek公式サイト(外部)
DeepSeek AIが提供する大規模言語モデルやAIチャットサービスの公式サイト。
WPS Office公式サイト(外部)
WPS SOFTWARE PTE. LTD.が開発するオフィスソフトの公式サイト。
Sogou公式サイト(外部)
中国のSogou Inc.が運営する検索エンジンおよび中国語入力サービスの公式サイト。
Netskope公式サイト(外部)
クラウドセキュリティや脅威インテリジェンスを提供する米国のセキュリティ企業。
DeepSeek公式YouTubeチャンネル(外部)
DeepSeek AIの公式動画チャンネル。製品やサービスの紹介を行う。
【参考記事】
DeepSeek Deception: Sainbox RAT & Hidden Rootkit Delivery(外部)
2025年6月26日公開。偽DeepSeekインストーラーによるSainbox RATとHidden rootkitの配布手口を詳細に分析。
Chinese Hackers Target Chinese Users With RAT, Rootkit(外部)
2025年6月27日公開。Silver Foxの攻撃で使われるSainbox RATやHidden rootkitの詳細、標的範囲を解説。
What is DLL sideloading?(外部)
DLLサイドローディングの仕組みと実例を解説。
What is BYOVD? – BYOVD Attacks in 2023(外部)
BYOVD攻撃の概要とリスク、実際の攻撃例を説明。
【編集部後記】
AIや新しいテクノロジーが私たちの生活にどんどん入り込む今、どこまでを「安全」と信じていいのか、不安に感じる場面も増えてきました。
みなさんは普段、どんな基準でソフトウェアやサービスを選んでいますか?
もし今回の記事を読んで気になる点や日常で感じている疑問があれば、ぜひご意見をお寄せください。一緒に「未来の安心」について考えていけたら嬉しいです。
