Confuciusと呼ばれる脅威アクターが、WooperStealerとAnondoorというマルウェアを使用してパキスタンを標的とした新たなフィッシングキャンペーンを実施した。Confuciusは2013年から活動する南アジア全域で活動するハッキンググループで、政府機関、軍事組織、防衛請負業者、重要産業を標的としている。2
024年12月にパキスタンのユーザーを標的とした攻撃では、.PPSXファイルを使ってDLLサイドローディング技術によりWooperStealerを配信した。2025年3月の攻撃では、Windowsショートカット(.LNK)ファイルを使用してWooperStealer DLLを展開し、侵害されたホストから機密データを盗み出した。
2025年8月に発見された.LNKファイルは、PythonベースのバックドアであるAnondoorを展開し、デバイス情報を外部サーバーに流出させ、コマンド実行、スクリーンショット取得、ファイル列挙、Google Chromeからのパスワードダンプを行う。Fortinetの研究者Cara Lin氏がこれらの攻撃を報告した。
From: 
Confucius Hackers Hit Pakistan With New WooperStealer and Anondoor Malware
【編集部解説】
今回のConfuciusによるサイバー攻撃は、単なる一過性の事件ではなく、南アジア地域における長期的な情報戦の一環として捉える必要があります。このグループが12年間にわたって継続的に活動していることは、国家レベルでの支援や組織的な基盤があることを示唆しています。
特に注目すべきは、攻撃手法の技術的進歩です。従来のスピアフィッシングから、DLLサイドローディングという高度な技術を駆使した攻撃へと発展させており、これは一般的なアンチウイルスソフトでは検知が困難な手法となります。
WooperStealerとAnondoorという2つのマルウェアの併用は、攻撃者の戦略的思考を物語っています。WooperStealerで初期の情報収集を行い、Anondoorで長期的な潜伏と継続的なデータ窃取を実現する二段階アプローチは、従来の「侵入して即座に情報を奪う」という手法から、「長期間潜伏して継続的に監視する」APT(Advanced Persistent Threat)攻撃への移行を示しています。
この攻撃が与える影響は、パキスタンの政府機関や軍事組織だけにとどまりません。防衛関連企業や重要インフラへの攻撃は、国家安全保障に直接的な脅威をもたらすだけでなく、同盟国や関連企業にも波及効果を与える可能性があります。
技術的な観点から見ると、PythonベースのバックドアであるAnondoorの採用は、攻撃者の柔軟性を高めています。Pythonの汎用性により、様々なプラットフォームでの動作が可能となり、攻撃対象の拡大が懸念されます。
【用語解説】
APT(Advanced Persistent Threat)
高度で持続的な脅威を指すサイバー攻撃の手法。長期間にわたって標的システムに潜伏し、継続的に情報を窃取する攻撃形態である。
DLLサイドローディング
正規のアプリケーションが悪意のあるDLLファイルを読み込むように仕向ける攻撃手法。セキュリティソフトによる検知を回避しやすい特徴がある。
C2サーバー
Command and Control serverの略。攻撃者がマルウェアに指令を送信したり、盗んだ情報を受信したりするためのサーバーである。
スピアフィッシング
特定の個人や組織を狙った標的型フィッシング攻撃。一般的なフィッシングより精巧で、受信者の情報を事前に調査して信頼性を高める手法である。
【参考リンク】
Fortinet FortiGuard Labs(外部)
Fortinetが運営するセキュリティ研究機関のブログ。最新のサイバー脅威に関する詳細な分析レポートを公開している。
K7 Security Labs(外部)
K7 Computingが運営するセキュリティ研究所。マルウェア分析やサイバー攻撃の調査結果を発表している。
The Hacker News(外部)
サイバーセキュリティ分野の最新ニュースを扱う専門メディア。セキュリティ研究者や業界関係者に広く読まれている。
【参考記事】
Confucius Hackers Attacking Government & Military Entities With wooperstealer(外部)
ハッカー集団「Confucius」が、新たなマルウェア「anondoor」と「wooperstealer」を用いて、南アジアおよび東アジアの政府・軍事組織を標的にしていることを報じる記事。
Confucius Espionage: From Stealer to Backdoor(外部)
Fortinet社の公式ブログ。攻撃手法の技術的詳細と、単純な情報窃取型から高度なバックドア型への進化の解説。
【編集部後記】
サイバー攻撃というと、どこか遠い世界の出来事のように感じられるかもしれません。しかし、今回のConfuciusによる攻撃は12年間も継続しており、その手法は年々巧妙化しています。皆さんの組織や日常で使うシステムは、本当に安全でしょうか。DLLサイドローディングのような高度な攻撃手法は、従来のセキュリティ対策では防ぎきれない可能性があります。
もし皆さんが企業のセキュリティ担当者だとしたら、どのような対策を講じますか。あるいは一般ユーザーとして、フィッシングメールをどう見分けますか。このニュースをきっかけに、身の回りのセキュリティについて、一緒に考えてみませんか。
