「PassiveNeuron」キャンペーンがアジア、アフリカ、ラテンアメリカの政府や産業、金融分野のWindowsサーバーを標的にしている。
Kasperskyが2024年6月に最初に発見し、2024年12月から2025年8月にかけて活動の波があった。使用されるマルウェアは検知を逃れるため100MB以上に肥大化された「Neursite」(C++製バックドア)と「NeuralExecutor」(.NETペイロード用インプラント)で、Cobalt Strikeも利用される。
主にMicrosoft SQL Serverが攻撃される事例があった。攻撃手法は脆弱性やSQLインジェクション、パスワードのブルートフォースによるアクセス獲得など。攻撃元は当初ロシアの疑いもあったが、2025年の攻撃ではGitHubを使ったDead Drop Resolver技術など、中国系の脅威アクターが関与している可能性が可能性が示唆されている。
NeursiteはTCPやHTTP/HTTPSなど複数手法でサーバー通信し、システム情報取得やプロセス管理機能、プラグインによる追加機能を持つ。組織はSQLインジェクション対策やWebシェル防御を行う必要がある。
From: 
‘PassiveNeuron’ Cyber Spies Target Orgs With Custom Malware
【編集部解説】
今回のPassiveNeuronキャンペーンは、サーバーを標的にしたサイバースパイ活動として注目すべき事案です。組織のデジタルインフラの中枢であるサーバー、特にインターネットに公開されているサーバーは、ネットワーク全体への侵入口となり得るため、APT攻撃の格好の標的となります。
このキャンペーンの特徴的な点は、カスタムマルウェアの精巧さにあります。Neursiteバックドアは100MB以上のジャンクデータで意図的に肥大化され、検知を困難にしています。さらに、MACアドレスチェックを実装し、特定の標的システムでのみ実行される仕組みを持っています。これは無差別攻撃ではなく、高度に標的を絞った諜報活動であることを示しています。
攻撃手法の進化も見逃せません。2024年のサンプルは設定ファイルから直接C2サーバーアドレスを取得していましたが、2025年の攻撃ではGitHubリポジトリを利用したDead Drop Resolver技術を採用しています。正規のWebサービスを悪用することで、不正な通信を正当なトラフィックに偽装し、検知を回避する狙いがあります。
帰属については慎重な分析が必要です。当初はロシア語の文字列から露系の可能性が疑われましたが、これは意図的な偽旗工作と判断されました。最終的に、GitHubを利用したC2取得手法が過去のEastWindキャンペーン(APT31等に関連)と類似している点や、APT41の活動に関連する情報が見つかったことから、中国系脅威アクターの関与が示唆されています。
企業が取るべき対策として、SQLインジェクション対策は基本中の基本です。また、Webシェルの検知と防御、サーバーの攻撃面の最小化、そしてサーバーアプリケーションの継続的な監視が不可欠です。特にMicrosoft SQL Serverを運用している組織は、強固なパスワードポリシーの実施と、不要な外部公開の制限を徹底する必要があります。
【用語解説】
APT(Advanced Persistent Threat / 高度持続的脅威)
国家やそれに準ずる組織が支援する高度なサイバー攻撃グループ。特定の標的に対して長期間にわたり密かに潜伏し、継続的に情報を窃取する攻撃手法を指す。
バックドア
システムに侵入した攻撃者が、後から自由に再侵入できるように設置する不正なプログラム。正規の認証を回避して遠隔操作を可能にする。
C2サーバー(Command and Control Server)
攻撃者が侵害したシステムを遠隔操作するための司令塔となるサーバー。感染したマシンに命令を送り、盗んだデータを受信する役割を担う。
SQLインジェクション
Webアプリケーションの脆弱性を悪用し、データベースに不正なSQL文を送り込む攻撃手法。データの窃取や改ざん、システムの乗っ取りが可能になる。
Dead Drop Resolver
GitHubなど正規のWebサービスを悪用してC2サーバーのアドレス情報を取得する技術。正当な通信に偽装できるため検知が困難になる。
Webシェル
Webサーバーに設置される悪意のあるスクリプト。攻撃者がWebブラウザ経由でサーバーを遠隔操作できるようになる。
TTP(Tactics, Techniques, and Procedures)
サイバー攻撃者が用いる戦術、技術、手順の総称。攻撃グループを特定する際の重要な指標となる。
【参考リンク】
Kaspersky(カスペルスキー)(外部)
ロシア発祥のサイバーセキュリティ企業で、世界的なマルウェア研究機関。PassiveNeuronキャンペーンを発見・分析した。
Cobalt Strike(外部)
企業のセキュリティ診断に使用される商用のペネトレーションテストツール。攻撃者にも悪用されることが多い。
Microsoft SQL Server(外部)
マイクロソフトが提供するリレーショナルデータベース管理システム。PassiveNeuronキャンペーンの主要な攻撃標的。
【参考記事】
Cyberespionage campaign PassiveNeuron targets high-profile organizations(外部)
Kasperskyの公式ブログによる詳細な技術分析。NeursiteとNeuralExecutorの詳細な動作メカニズムを解説している。
Researchers Identify PassiveNeuron APT Using Neursite and NeuralExecutor Malware(外部)
The Hacker Newsによる報道。Neursiteが100MB以上のジャンクデータで肥大化され、MACアドレスチェック機能を持つことを報告。
APT Abuses MS SQL Servers to Deploy Stealthy Neursite Backdoor(外部)
Security Online Infoの分析記事。Microsoft SQL Serverが侵入経路として悪用されている点を詳述している。
Government, Industrial Servers Targeted in China-Linked PassiveNeuron Campaign(外部)
SecurityWeekによる報道。アジア、アフリカ、ラテンアメリカの政府機関や産業セクターが標的となっている地理的範囲を詳述。
【編集部後記】
みなさんの組織では、インターネットに公開しているサーバーのセキュリティ対策は万全でしょうか。SQLサーバーやWebサーバーは業務の根幹を支える存在ですが、同時にサイバー攻撃者にとって最も魅力的な標的でもあります。
今回のPassiveNeuronのように、見えないところで静かに進行する脅威に、どう備えればいいのか。パスワード管理やセキュリティパッチの適用といった基本対策は実施されていますか。一度、社内のサーバーセキュリティについて見直してみる良いタイミングかもしれません。
