「アクアティック・パンダ」中国APTグループの10ヶ月間にわたる7組織へのサイバースパイ活動が明らかに

2025年3月22日15:55

サイバーセキュリティニュース

「アクアティック・パンダ」中国APTグループの10ヶ月間にわたる7組織へのサイバースパイ活動が明らかに - innovaTopia - （イノベトピア）

Last Updated on 2025-03-24 10:39 by admin

中国関連の高度持続的脅威（APT）グループ「アクアティック・パンダ」（別名：FishMonger、Bronze University、Charcoal Typhoon、Earth Lusca、RedHotel）が2022年1月から10月までの10ヶ月間にわたり、7つの組織を標的とした「グローバルなスパイ活動キャンペーン」を実施していたことが明らかになった。

このキャンペーンは、スロバキアのサイバーセキュリティ企業ESETによって「Operation FishMedley（オペレーション・フィッシュメドレー）」と名付けられた。標的となったのは台湾とタイの政府機関、ハンガリーと米国のカトリック系慈善団体、米国のNGO、フランスの地政学シンクタンク、そしてトルコの不明組織である。

攻撃者は「ShadowPad」「SodaMaster」「Spyder」などの中国関連の脅威アクターに共通または独占的なマルウェアを使用した。また、「ScatterBee」というローダーを使用して、これらのマルウェアに加え「RPipeCommander」という新たなC++製インプラントをドロップしていた。RPipeCommanderはタイの政府機関に対して展開され、cmd.exeを使用してコマンドを実行し、出力を収集するリバースシェルとして機能する。

ESETの研究者マチュー・ファウ氏によると、このグループはWinnti Group（別名APT41、Barium、Bronze Atlas）の傘下で活動しており、中国の請負業者「I-Soon（安洵信息技术有限公司）」の監督下にあるとされている。I-Soonの従業員の一部は2016年から2023年までの複数のスパイ活動への関与の疑いで、2025年3月初めに米国司法省（DoJ）によって起訴され、FBIの最重要指名手配リストに追加された。

アクアティック・パンダは2019年から活動しており、2019年後半には香港の大学を標的としたキャンペーンも実施していた。CrowdStrikeによれば、このグループは少なくとも2020年5月から活動しており、主にアジア地域の通信、技術、政府セクターを標的としている。

from:China-Linked APT Aquatic Panda: 10-Month Campaign, 7 Global Targets, 5 Malware Families

【編集部解説】

まず、この事案の重要性を理解するために、APT（Advanced Persistent Threat）について簡単に説明しましょう。APTとは、高度で持続的な脅威を指し、主に国家や大規模な組織が関与する長期的かつ標的型のサイバー攻撃を意味します。今回のケースは、まさにこのAPTの典型例といえるでしょう。

アクアティック・パンダの活動は、単なるサイバー犯罪集団の行為を超えて、国家レベルのサイバースパイ活動の一端を示しています。特に注目すべきは、彼らが使用したマルウェアの種類と、標的となった組織の多様性です。

ShadowPadやSodaMasterといった高度なマルウェアの使用は、この集団の技術力の高さを示しています。これらのツールは、被害者のシステムに長期間潜伏し、機密情報を収集することができます。さらに、新たに発見されたRPipeCommanderの存在は、彼らが常に新しい攻撃手法を開発していることを示唆しています。

標的となった組織の多様性も注目に値します。政府機関からNGO、シンクタンクまで、幅広い組織が攻撃を受けています。これは、アクアティック・パンダが単に技術情報だけでなく、政策決定や国際関係に関する情報も狙っていることを示しています。

この事案が示す最も重要な教訓は、サイバーセキュリティの重要性が組織の規模や種類を問わず高まっているということです。政府機関はもちろん、NGOや慈善団体までもが高度なサイバー攻撃の標的となる時代に突入しています。

また、この事案は国際的なサイバーセキュリティ協力の必要性も浮き彫りにしています。米国司法省による起訴は、サイバー犯罪に対する国際的な法執行の一例ですが、同時に、このような活動を防ぐための国際的な枠組みの構築が急務であることも示しています。

技術の進歩に伴い、このような高度なサイバー攻撃はますます巧妙化していくでしょう。私たちは、個人レベルでも組織レベルでも、常にセキュリティ意識を高め、最新の防御策を講じる必要があります。

最後に、このような事案は、テクノロジーの発展がもたらす光と影の両面を示しています。高度な技術は私たちの生活を豊かにする一方で、悪用されれば大きな脅威となります。私たちは、テクノロジーの恩恵を享受しつつ、そのリスクにも常に備える必要があるのです。

【用語解説】

APT（Advanced Persistent Threat）：
高度で持続的な脅威。国家や大規模組織が関与する長期的な標的型サイバー攻撃を指す。

マルウェア：
悪意のあるソフトウェアの総称。コンピューターに害を与えるプログラムのこと。

インプラント：
標的のシステムに密かに埋め込まれる悪意のあるソフトウェア。

リバースシェル：攻撃者が被害者のコンピューターに遠隔からアクセスできるようにする仕組み。

ShadowPad：
中国関連のAPTグループが使用する高度なバックドア型マルウェア。2017年に初めて発見された。

SodaMaster：
元々APT10が使用していたとされるマルウェア。現在は複数の中国関連APTグループで共有されている可能性がある。

【参考リンク】

ESET（外部）
サイバーセキュリティソリューションを提供する欧州発の企業。今回の調査を行った。

CrowdStrike（外部）
エンドポイントセキュリティに特化したアメリカのサイバーセキュリティ企業。

【編集部後記】

皆さん、サイバーセキュリティは遠い世界の話ではありません。今回のアクアティック・パンダの事例から、私たち一人ひとりが考えるべきことがあります。日常使っているパスワード、定期的に変更していますか？不審なメールのリンクをクリックしていませんか？多要素認証は設定済みですか？セキュリティ対策は、大きな組織だけでなく個人レベルでも重要です。皆さんは普段どのようなセキュリティ対策を実践していますか？ぜひSNSで共有してください。