Last Updated on 2025-06-18 09:56 by admin
2025年1月以降、Silver Fox APTと呼ばれる脅威アクターがHoldingHands(別名Gh0stBins)リモートアクセストロイの木馬を使用して台湾の組織を標的とした攻撃キャンペーンを実行している。
攻撃者は台湾の国税局や政府機関になりすましたフィッシングメールを通じて、税金、年金、公共サービスをテーマとした悪意のあるzipファイルを配信している。zipファイルにはdokan2.dll、dxpi.txt、MsgDb.datといったファイルが埋め込まれており、多段階の感染チェーンを実行する。
Fortinetの研究者Pei Han Liaoが2025年6月17日に発表した報告によると、攻撃者は当初Winos 4.0マルウェアツールキットを使用していたが、その後HoldingHandsとGh0stCringeを追加した。
これらのマルウェアはキーロギング、ファイル盗取、リモートコントロール機能を持つ。収集されるデータにはユーザー情報、IPアドレス、コンピューター名、オペレーティングシステム、CPU周波数、メモリサイズ、レジストリ値が含まれる。
台湾国家安全局は今年初めに、2024年の台湾政府への1日あたりのサイバー攻撃が240万件とほぼ倍増したと報告している。SlashNext Email Security+のStephen Kowskiは、複数のマルウェア変種を協調して使用する手法を長期戦略と分析している。
From: 
‘HoldingHands’ Acts Like a Pickpocket With Taiwan Orgs
【編集部解説】
今回のSilver Fox APTによるHoldingHands攻撃キャンペーンは、台湾を標的とした高度なサイバー攻撃の新たな局面を示しています。この事案を技術的・戦略的な観点から詳しく解説いたします。
Silver Fox APTの戦術的進化
Silver Fox APTは中国系の攻撃グループとして知られ、今回のキャンペーンでは「Operation Holding Hands」と呼ばれる多段階攻撃を展開しています。注目すべきは、攻撃者が単一のマルウェアに依存せず、Winos 4.0、HoldingHands、Gh0stCringeという3つの異なるツールを組み合わせて使用している点です。
この多層防御突破戦略は、従来のセキュリティソリューションが単一の脅威検知に特化していることを逆手に取った巧妙な手法といえます。特にDLLサイドローディング技術を使用することで、正規のプログラムを悪用してマルウェアを実行する点は、検知回避の観点で非常に高度です。
攻撃手法の技術的詳細
HoldingHands(別名Gh0stBins)とGh0stCringeは、どちらも中国のハッキンググループが長年使用してきたGh0st RATの派生型です。攻撃チェーンは、フィッシングメールに添付されたPDFファイルから始まり、被害者をZIPアーカイブをホストするダウンロードページにリダイレクトします。
ZIPファイル内には正当な実行ファイル、シェルコードローダー、暗号化されたシェルコードが含まれており、多段階の感染シーケンスを実行します。最終的にmsgDb.datが実行され、C&C機能を実装してユーザー情報を収集し、追加モジュールをダウンロードします。
社会工学的手法の洗練化
攻撃者は台湾の国税局を装ったフィッシングメールを使用していますが、これは単なる偽装を超えた心理的操作です。税務関連の通知は緊急性が高く、受信者が慎重な判断を下す時間的余裕を奪う効果があります。
さらに興味深いのは、攻撃者が画像にハイパーリンクを埋め込む手法を併用している点です。これにより、従来のテキストベースのフィッシング検知システムを回避できる可能性が高まります。
地政学的文脈と長期的影響
台湾国家安全局の報告によると、2024年の台湾政府への1日あたりのサイバー攻撃数は240万件とほぼ倍増しています。この数値は、台湾が直面するサイバー脅威の深刻さを物語っています。
Silver Fox APTのキャンペーンは、単発的な攻撃ではなく、長期的な情報収集を目的とした「Advanced Persistent Threat(APT)」の典型例です。収集された情報は将来の大規模攻撃の準備段階として活用される可能性が高く、台湾の重要インフラや政府機関にとって深刻な脅威となります。
技術的対策の限界と新たな課題
従来のメールセキュリティは、ゲートウェイレベルでの添付ファイル検査に依存していました。しかし、Silver Fox APTのような多段階感染チェーンに対しては、リアルタイムでの行動分析が不可欠です。
特に注目すべきは、攻撃者がパスワード保護されたZIPファイルを使用し、パスワードを別途ダウンロードページで提供する手法です。これにより、セキュリティ研究者による分析を困難にしています。
産業界への波及効果
このような攻撃手法の進化は、サイバーセキュリティ業界全体に新たな技術開発を促しています。従来の署名ベース検知から、機械学習を活用した行動分析への移行が加速される可能性があります。
また、企業の従業員教育においても、単純なフィッシング識別から、より高度な社会工学的攻撃への対応能力向上が求められるようになります。
まとめ
Silver Fox APTのキャンペーンは、サイバー攻撃の「産業化」を示す事例でもあります。攻撃者が複数のマルウェアツールを体系的に運用し、継続的に戦術を進化させている点は、今後のサイバー脅威の方向性を示唆しています。
この傾向は、防御側にとって単発的な対策では不十分であり、継続的な脅威インテリジェンスの収集と分析が不可欠であることを意味します。台湾のような地政学的に重要な地域では、国際的な協力体制の構築がより一層重要になるでしょう。
【用語解説】
Silver Fox APT
中国系の高度持続的脅威(APT)グループで、主に台湾と日本を標的とした攻撃キャンペーンを実行している。Operation Holding Handsと呼ばれる多段階攻撃を展開し、複数のマルウェアツールを組み合わせて使用する。
HoldingHands(Gh0stBins)
Gh0st RATから派生したリモートアクセストロイの木馬(RAT)で、データ流出と監視機能を持つマルウェアである。複数のファイルで構成され、C&Cサーバーとの通信により攻撃者からの指示を受信する。
Winos 4.0
キーロギング、スクリーンショット撮影、クリップボード監視、データ流出機能を持つ高度なマルウェアツールキットである。ゲーム関連アプリケーションや偽装メールを通じて配布される。
Gh0stCringe(CirenegRAT)
Gh0st RATの派生型で、情報窃取を主目的とするRATマルウェアである。従来のGh0st RATと比較して実行可能なコマンドが少なく、侵入初期段階で使用される。
DLLサイドローディング
正規のアプリケーションが悪意のあるDLLファイルを読み込むよう仕向ける攻撃手法である。dokan2.dllのような正規のライブラリ名を偽装してマルウェアを実行する。
C&C(コマンド・アンド・コントロール)サーバー
マルウェアが感染後に接続する攻撃者が管理するサーバーで、遠隔操作の指示やデータ収集を行う。MsgDb.datファイルがC&Cタスクを実装している。
多段階感染チェーン
マルウェアが複数の段階を経て最終的なペイロードを実行する攻撃手法である。各段階で異なるファイルやプロセスを使用し、検知を困難にする。
【参考リンク】
Fortinet(フォーティネット)(外部)統合脅威管理(UTM)製品の世界最大手メーカーで、FortiGateファイアウォールやセキュリティソリューションを提供する。
SlashNext Email Security+(外部)生成AI技術を活用したメールセキュリティソリューションを提供する企業。フィッシング、BEC、SMSフィッシングなどの攻撃を99.99%の検知率で防御する。
【参考記事】
Threat Group Targets Companies in Taiwan | FortiGuard Labs(外部)
Fortinetが2025年6月17日に発表したSilver Fox APTによるHoldingHands RATキャンペーンの詳細分析レポート。
【編集部後記】
今回のSilver Fox APTによる攻撃は、私たちの日常に潜むサイバー脅威の現実を浮き彫りにしています。皆さんは普段、税務署や年金事務所からのメールをどのように判断されていますか?特に緊急性を装った公的機関からの連絡に対して、どんな確認手順を取られているでしょうか。
この事案を通じて、私たちinnovaTopia編集部も改めて考えさせられました。APTグループのような高度な攻撃者が長期戦略で情報収集を行う中で、個人や組織はどのような備えが必要なのでしょうか。また、台湾で起きているこうした攻撃が、日本の企業や個人にとってどのような示唆を与えているのか、皆さんと一緒に考えていけたらと思います。
ぜひSNSで、皆さんのセキュリティ対策や疑問点をお聞かせください。
サイバーセキュリティニュースをinnovaTopiaでもっと読む
