中国政府と関連のあるサイバースパイ集団UNC6384(別名Mustang Panda、Twill Typhoon)は、2025年9月と10月にベルギー、ハンガリー、イタリア、オランダの外交官およびセルビア政府の航空部門をターゲットにサイバー攻撃を行った。
セキュリティ企業Arctic Wolfが10月30日に公表した報告によると、攻撃は外交会議のテーマを装ったフィッシングメールで始まり、兵器化されたLNKファイルを配信。このファイルはPowerShellを実行してtar形式のアーカイブを抽出し、DLLサイドローディング技術を用いて、2018年4月に有効期限が切れたCanonプリンタユーティリティの有効なデジタル署名を悪用して、PlugXマルウェアをデプロイしている。
これはTrend MicroのZDIによって2025年3月に公開されたWindowsショートカット脆弱性ZDI-CAN-25373(後にCVE-2025-9491が割り当てられた)を悪用したものである。この脆弱性は2017年からゼロデイとして北朝鮮、イラン、ロシア、中国からの11の国家後援グループに悪用されている。マイクロソフトはまだ修正していない。
From: 
Suspected Chinese snoops weaponize unpatched Windows flaw
【編集部解説】
この事案で中核となるのは、公開されてから8ヶ月間も放置されているWindows脆弱性の存在です。通常、マイクロソフトのような大手ベンダーは公開された脆弱性に対して迅速に対応します。ところが、このZDI-CAN-25373(CVE-2025-9491)に関しては、マイクロソフトは低い優先度として分類し、修正を後回しにしています。この判断が、中国政府系の攻撃グループに狙われる隙を与えてしまったのです。
今回の攻撃は3段階の構成になっています。フィッシングメールから始まり、兵器化されたLNKファイル、DLLサイドローディング、そして最終的なPlugXマルウェアのデプロイメントという流れです。注目すべきは、有効期限切れの証明書を巧妙に利用している点です。Windowsの仕様では、デジタル署名にタイムスタンプが含まれている場合、証明書の有効期限切れ後でも信頼される設計になっています。攻撃者はこの仕様を熟知し、2018年4月に有効期限が切れたCanonプリンタアシスタントツール「cnmpaui.exe」と関連のDLLの署名を悪用しているわけです。
過去、UNC6384は東南アジアの外交官をターゲットにしていました。今回ヨーロッパに対象を拡大したことは、中国が地政学的な関心を東南アジアからヨーロッパへ広げつつあることを示唆しています。特にベルギー、ハンガリー、イタリア、オランダ、セルビアという選定は、NATO加盟国とそれに隣接する国々に対する情報収集の意図を明確に物語っています。
Trend ZDIのレポートによれば、この脆弱性は北朝鮮、イラン、ロシア、中国からの11の国家後援グループに悪用されており、ほぼ1,000件の悪意のあるLNKファイルサンプルが確認されています。政府、金融、通信、軍事・防衛、エネルギー部門が被害セクターとして確認され、影響は北米、南米、ヨーロッパ、アジア、オーストラリアに及んでいます。つまり、この脆弱性は単なる一つの攻撃事例ではなく、全世界的な脅威インフラの一部となっているのです。
マイクロソフトが「低優先度」として修正を先送りしたことは、ベンダー側のセキュリティ優先順位付けの在り方に疑問を投げかけます。公開されている脆弱性で、しかも複数の国家後援グループに既に悪用されているにもかかわらず、パッチが提供されないという状況は、組織のセキュリティチームに大きな負担を強いることになります。
外交機関はもちろんのこと、政府機関、企業の情報セキュリティ部門は、今後Windowsシステムのモニタリングを強化せざるを得ません。特にLNKファイルの取り扱い、PowerShell実行の可視化、DLL読み込み順序への警戒が必須になります。同時に、従業員教育という面では、精巧なソーシャルエンジニアリング(外交会議の議題を装ったルアー)への対抗が重要です。
PlugXは2008年から存在する旧型のマルウェアですが、今なお国家級の攻撃の主力ツールとして機能しています。これは、既存のツールであっても継続的に改善・適応させることで、相応の戦術的価値を保持できることを示唆しており、セキュリティベンダー側も「古い脅威は対策済み」と安心できない状況を物語っています。
【用語解説】
UNC6384(Mustang Panda、Twill Typhoon)
中国政府と関連があると指摘されているサイバースパイ集団。東南アジアの外交官をターゲットとした活動の後、2025年9月から10月にかけてヨーロッパの外交機関への攻撃に活動を拡大した。PlugXマルウェアの展開による政府機関への不正アクセスを特徴とする。
PlugXマルウェア
2008年から存在しているリモートアクセストロイの木馬(RAT)。感染したコンピュータに対してリモートからのコマンド実行、ファイルの盗難・操作、追加マルウェアのデプロイ、システム情報の取得が可能。北京支持とされる複数のサイバースパイ集団により長年にわたって使用されている。
DLLサイドローディング
Windowsのダイナミックリンクライブラリ(DLL)検索メカニズムを悪用する技術。正当なアプリケーションが読み込む際に、本物のDLLの代わりに攻撃者が用意した悪意のあるDLLを読み込ませることで、セキュリティソフトの検出回避を実現する。
【参考リンク】
Arctic Wolf Labs(外部)
セキュリティ脅威インテリジェンスと研究開発の中核機関。今回のUNC6384による欧州外交官への攻撃を分析・報告。
Trend Zero Day Initiative(ZDI)(外部)
ゼロデイ脆弱性の報告・公開プログラム。ZDI-CAN-25373の詳細分析と悪用実態を公開。
Microsoft Security Response Center(MSRC)(外部)
マイクロソフトのセキュリティ脆弱性対応の公式情報センター。CVE修正状況を提供。
The Register(外部)
テクノロジー業界のニュースと分析を報じるメディア。本事案を最初に報道。
【参考記事】
ZDI-CAN-25373: Windows Shortcut Exploit Abused as Zero-Day in Widespread APT Campaigns(外部)
Trend Microが公開した詳細な技術分析レポート。ほぼ1,000件のLNKファイルサンプル、11の国家後援グループの悪用を詳述。
UNC6384 Deploys PlugX via Captive Portal Hijacks and Valid Signed Executables(外部)
The Hacker Newsが報じたUNC6384の攻撃手法。WebトラフィックハイジャックとPlugX展開戦術を分析。
PRC-Nexus Espionage Campaign Hijacks Web Traffic(外部)
Googleの脅威インテリジェンスチームが発表した中国関連スパイ活動の公式報告。多地域の被害状況を分析。
【編集部後記】
今、ヨーロッパの外交官たちが標的になっているというこのニュースは、決して他人事ではありません。精巧なソーシャルエンジニアリング、公開脆弱性の悪用、正当な証明書を使ったマルウェア配信——これらの技術は、外交機関だけでなく、あらゆる組織に応用される可能性を秘めています。
みなさんの職場では、似たような攻撃に対する準備ができていますか?DLLサイドローディングのような技術的な仕組みを理解することで、「なぜメールの添付ファイルには気をつける必要があるのか」という問いの本当の答えが見えてくるはずです。この記事を通じて、未来のセキュリティ脅威とそれへの向き合い方について、一緒に考えていただければ幸いです。
