2025年6月23日、Recorded FutureのInsikt Groupは、パキスタンとの関係が指摘されるTAG-140と呼ばれる脅威アクターがDRAT V2と呼ばれるリモートアクセストロイの木馬の改良版を使用してインド政府組織を標的にしていると報告した。
TAG-140はSideCopyと重複し、SideCopyはTransparent Tribe(APT-C-56、APT36、Datebug、Earth Karkaddan、Mythic Leopard、Operation C-Major、ProjectM)内の運用サブクラスターと評価されている敵対的集団である。
攻撃対象は政府、国防、海事、学術セクターから鉄道、石油・ガス、外務省関連組織に拡大している。このグループは2019年から活動している。
DRAT V2は.NETベースからDelphi コンパイル版に変更され、Base64エンコーディングでC2 IPアドレスを難読化し、ASCIIとUnicodeの両方でコマンド入力をサポートする。感染にはtrade4wealth[.]inサーバーからHTAファイルを取得し、BroaderAspectローダーを起動する手法を使用する。DRAT V2は高度な解析回避技術を欠き、基本的な感染・持続化手法に依存するため、静的・行動解析による検出が可能である。
2025年5月のインド・パキスタン紛争中、APT36がAres RATを配布し、国防、政府、IT、医療、教育、通信セクターを標的とした。国立情報学センター(NIC)からの発注書を装ったフィッシングメールでPDF添付ファイルを配信し、*.pdf.exe形式の実行可能ファイルをダウンロードさせる手法を使用した。
Confuciusグループは2013年から活動し、南アジアと東アジアの政府・軍事部門を標的としている。SeebugのKnownSec 404チームによると、WindowsショートカットファイルからAnondoorバックドアとWooperStealerを配信する多段階攻撃を実行している。
From:
TAG-140 Deploys DRAT V2 RAT, Targeting Indian Government, Defense, and Rail Sectors
【編集部解説】
今回のニュースは、南アジア地域におけるサイバー諜報活動の複雑な現状を浮き彫りにしています。TAG-140はSideCopyと重複しており、SideCopyはTransparent Tribe内の運用サブクラスターと評価されている敵対的集団です。このような組織構造により、攻撃者は異なる名称や手法を使い分けることで、セキュリティ研究者による追跡や帰属分析を困難にしています。
DRAT V2の技術的特徴で注目すべきは、従来版と比較して文字列難読化を減らし、コマンドヘッダーを平文で保持する設計です。これは一見検出されやすくなるように思えますが、実際には「解析の信頼性を優先する」という合理的な判断です。ただし、DRAT V2は高度な解析回避技術を欠き、基本的な感染・持続化手法に依存するため、静的・行動解析による検出が可能という脆弱性も抱えています。
攻撃対象が政府・国防分野から鉄道、石油・ガス、外務省関連組織まで拡大している点は戦略的に重要です。これは情報窃取中心の活動から、国家インフラ全体を対象とした体系的な情報収集活動への転換を示唆しています。
ClickFixスタイル攻撃は、悪意のあるコマンドを被害者のマシンのクリップボードに密かにコピーし、被害者にコマンドシェルを起動してそれを貼り付けて実行するよう促す巧妙なソーシャルエンジニアリング手法です。この手法の危険性は、多くのセキュリティソリューションが検出できない点にあり、被害者が「自分の意志で」コマンドを実行するため、従来の自動実行型マルウェアとは異なる心理的操作を利用しています。
これらの攻撃活動は2019年から継続している組織的な活動の一部であり、攻撃者は「交換可能なスイート」として複数のRATツールを使い分けることで、検出回避と運用継続性を両立させています。このような持続的な脅威に対しては、従来の境界防御だけでは不十分で、組織内部での異常通信パターンの検出と継続的なセキュリティ教育が不可欠です。
【用語解説】
RAT(Remote Access Trojan)
リモートアクセストロイの木馬。感染したコンピューターを遠隔操作するマルウェアの一種で、攻撃者が被害者のシステムに不正アクセスし、ファイル操作、スクリーンショット撮影、キーロガー機能などを実行できる。
C2(Command and Control)
コマンド・アンド・コントロール。マルウェアが攻撃者のサーバーと通信し、命令を受信したり盗取したデータを送信したりするための制御システム。
ClickFixスタイル攻撃
悪意のあるコマンドを被害者のマシンのクリップボードに密かにコピーし、被害者にコマンドシェルを起動してそれを貼り付けて実行するよう促すソーシャルエンジニアリング手法。従来の自動実行型マルウェアとは異なり、ユーザーの能動的な操作を悪用する。
BroaderAspect
DRAT V2の感染チェーンで使用されるローダー。HTAファイルから実行され、囮PDFの表示、Windowsレジストリを通じた持続化設定、DRAT V2本体のダウンロードと実行を担当する。
DLL サイドローディング
正規のアプリケーションが読み込むDLLファイルを悪意のあるものに置き換えることで、マルウェアを実行させる攻撃手法。正規プロセスを悪用するため検出が困難。
Base64エンコーディング
バイナリデータをテキスト形式に変換する符号化方式。マルウェアではC2サーバーのIPアドレスなどを難読化する目的で使用される。
HTA(HTML Application)
HTMLとスクリプトを組み合わせたWindowsアプリケーション形式。mshta.exeによって実行され、マルウェアの配信手段として悪用されることが多い。
フィッシング攻撃
正規の組織や個人を装った偽のメールやウェブサイトを用いて、機密情報を騙し取る詐欺手法。
APT(Advanced Persistent Threat)
高度で持続的な脅威。国家支援型の攻撃グループが長期間にわたって特定の標的に対して実行する組織的なサイバー攻撃。
【参考リンク】
Recorded Future(外部)
脅威インテリジェンス分野のリーディングカンパニーで、TAG-140に関する詳細な分析レポートを発表
CYFIRMA(外部)
APT36の脅威分析やサイバー諜報活動の調査を専門とするシンガポールのセキュリティ企業
KnownSec(外部)
404チームがConfuciusグループの新しいAnondoorバックドアに関する詳細な技術分析を実施
【参考記事】
APT PROFILE : Transparent Tribe aka APT36(外部)
CYFIRMAによるAPT36の包括的なプロファイル分析と攻撃手法の詳細解説
Recorded Future – Insikt Group Research(外部)
TAG-140やDRAT V2に関する技術的分析レポートを含む最新の脅威情報を提供
【編集部後記】
今回のような国家レベルのサイバー攻撃は、私たちの日常生活にも影響を与える可能性があります。皆さんの組織では、どのようなセキュリティ対策を実施されていますか?特に、今回紹介したClickFixスタイルの攻撃のように、従来の技術的な防御だけでは対応が困難な手法が増えています。
私たち編集部も、こうした新しい脅威について学び続けている最中です。読者の皆さんの職場や身の回りで、「これは怪しいかも」と感じた経験があれば、ぜひコメントで共有していただけませんか?
また、サイバーセキュリティ分野で注目している技術や企業があれば、今後の記事の参考にさせていただきたいと思います。一緒に「未来の脅威」について考えていきましょう。
