中国系の脅威アクターMustang Pandaが、TONESHELLバックドアの更新版とSnakeDiskというUSBワームを使用していることをIBM X-Forceの研究者ゴロ・ミューアとジョシュア・チャンが9月11日(現地時間)に発表した。
IBM X-ForceはこのクラスターをHive0154として追跡しており、Bronze、President、Camaro Dragon、Earth Preta、HoneyMyte、Polaris、RedDelta、Stately Taurus、Twill Typhoonなどといった名称でも知られる。この脅威アクターは2012年から活動していると考えられている。
TONESHELLは2022年11月にTrend Microによって初めて文書化され、5月から10月にミャンマー、オーストラリア、フィリピン、日本、台湾への攻撃で使用された。新たなTONESHELL8およびTONESHELL9変種は、OpenAIのChatGPTウェブサイトからコピーしたジャンクコードを含む。SnakeDiskはタイの公開IPアドレスでのみ実行される地理的制限があり、Yokaiバックドアを投下する。
YokaiはNetskopeによって2024年12月にタイの当局者を標的とした侵入で詳細が報告されている。
From: 
Mustang Panda Deploys SnakeDisk USB Worm to Deliver Yokai Backdoor
【編集部解説】
今回のMustang Pandaによる攻撃は、サイバーセキュリティの新たな局面を示す重要な事案です。特に注目すべきは、USBワーム「SnakeDisk」がタイのIPアドレスでのみ動作する地理的制限機能を持つことです。
この地理的限定は、単なる技術的制約ではなく戦略的判断と考えられます。IBM X-Forceの報告によると、2025年5月末にはタイとカンボジアの国境衝突が発生し、その後も両国間の緊張が継続しています。7月には砲撃や空爆を含む本格的な衝突に発展し、米国とマレーシアの仲介により一時停戦に至りました。このタイミングでの攻撃は明確な地政学的意図を示唆しています。
技術的な観点では、TONESHELL8/9の進化が特徴的です。これらの新バリアントは、OpenAIのChatGPTウェブサイトから実際にコードをコピーしてジャンクコードとして組み込み、静的解析を回避する手法を採用しています。AIサービスのコードを逆用した検知回避は、今後のマルウェア開発において重要なトレンドとなる可能性があります。
SnakeDiskの感染手法も巧妙に設計されています。USBデバイス内の既存ファイルを隠し、悪意のあるファイルをUSBのボリューム名と同じ名前に設定することで、ユーザーの心理的な盲点を突いています。感染後は元のファイルを復元するため、被害者が異常に気づきにくい設計となっています。
この攻撃手法が示すリスクは深刻です。エアギャップされた重要システムへの物理的侵入が可能になるからです。従来のネットワーク分離による防御策では対応できない脅威として、組織のセキュリティ戦略の見直しが急務となります。
Hive0154グループはおよそ2012年ごろから活動を続けており、複数のサブクラスターを運用する高度な組織構造を持っています。今回の攻撃は、同グループのマルウェアエコシステムがさらに大規模化・専門化していることを示しており、今後の活動拡大に警戒が必要です。
【用語解説】
APTグループ(Advanced Persistent Threat)
国家や組織に支援された高度で持続的な脅威を行うサイバー攻撃集団。長期間にわたって標的に潜伏し、機密情報の窃取や破壊活動を行う。
バックドア
正規の認証手続きを回避してシステムに不正アクセスするための秘密の入り口。攻撃者が遠隔からシステムを制御する際に使用される。
DLLサイドローディング
正規のアプリケーションが悪意のあるDLL(動的リンクライブラリ)ファイルを読み込むよう仕向ける攻撃手法。セキュリティソフトによる検知を回避しやすい。
リバースシェル
標的システムから攻撃者のサーバーに向けて確立される通信チャネル。ファイアウォールを回避してリモート制御を可能にする。
地理的フェンシング(ジオフェンシング)
特定の地理的範囲でのみマルウェアが動作するよう制限する機能。攻撃対象を限定し、研究者による解析を困難にする目的で使用される。
エアギャップ
重要なシステムをインターネットから物理的に分離してセキュリティを確保する手法。今回の攻撃はこの防御策を回避する脅威として注目される。
スピアフィッシング
特定の個人や組織を標的とした精巧な偽装メール攻撃。一般的なフィッシング攻撃よりも個人情報を巧みに利用して信憑性を高める。
【参考リンク】
IBM X-Force(外部)
IBMのサイバーセキュリティ研究部門。脅威インテリジェンスの収集・分析を行う
Trend Micro(外部)
日本発祥のサイバーセキュリティ企業。ウイルス対策ソフト開発で知られる
Netskope(外部)
クラウドセキュリティ分野のリーディングカンパニー。SASEソリューションを提供
【参考記事】
Hive0154, aka Mustang Panda, drops updated Toneshell(外部)
IBM X-Forceによる詳細な技術解析レポート。地理的制限機能について詳細解説
Mustang Panda Uses SnakeDisk USB Worm and Toneshell Backdoor(外部)
技術的な詳細とIOCを含む包括的な分析記事。動作メカニズムを詳細解説
Chinese APT Target Royal Thai Police in Malware Campaign(外部)
Darktraceによる関連キャンペーンの分析。タイ王室警察標的攻撃の背景説明
【編集部後記】
今回の記事を読んで、USBからの感染という「古典的」な手法が、最新技術と組み合わされることで新たな脅威となっていることに驚かれた方も多いのではないでしょうか。私たちの身の回りにある何気ないUSBデバイスが、実は高度なサイバー攻撃の入り口になりうるということを、改めて考えさせられました。特に企業の皆さんは、エアギャップされたシステムであっても物理的な侵入経路が存在することを認識する必要があります。この機会に、組織のUSBポリシーや物理的セキュリティ対策について、同僚の方々と議論してみてはいかがでしょうか?未来のサイバーセキュリティを一緒に考えていきましょう。
