中国のスパイ活動グループMustang Pandaが、CoolClientバックドアの新バージョンを展開している。Kasperskyの研究者が2026年1月27日に報告した。新バージョンはブラウザからログインデータを窃取し、クリップボードを監視する機能を持つ。CoolClientは2022年以降Mustang Pandaと関連付けられており、PlugXやLuminousMothと並ぶ二次的なバックドアとして使用されてきた。
最新の攻撃ではミャンマー、モンゴル、マレーシア、ロシア、パキスタンの政府機関が標的となり、中国企業Sangforの正規ソフトウェアを介して展開された。新機能にはクリップボード監視モジュール、アクティブウィンドウタイトル追跡、HTTPプロキシ認証情報スニッフィングが含まれる。情報窃取マルウェアはChrome、Edge、Chromiumベースブラウザの3つのバリアントで展開され、Google DriveやPixeldrainのAPIトークンを使用してデータを流出させる。
台湾国家安全局は今月初め、Mustang Pandaを重要インフラへの主要脅威の一つにランク付けした。
From: 
Chinese Mustang Panda hackers deploy infostealers via CoolClient backdoor
【編集部解説】
今回のMustang Pandaによるサイバー攻撃は、現代のサイバースパイ活動が到達した「巧妙さの新段階」を示す事例として注目に値します。特に注目すべきは、中国企業Sangforの正規ソフトウェアを介してマルウェアを配布したという点です。
従来、Mustang Pandaは署名済みの正規バイナリを悪用するDLLサイドローディングという手法を用いていました。しかし今回は正規のソフトウェアそのものを流通経路として利用しており、これは「供給チェーン攻撃」と呼ばれる極めて検知困難な侵入手法です。
さらに革新的なのは、盗んだデータの流出にGoogle DriveやPixeldrainといった誰もが使う正規クラウドサービスのAPIトークンをハードコードして利用している点です。通常、マルウェアは攻撃者が管理するC2サーバーと通信しますが、正規サービスへの通信は企業ネットワークでも日常的に発生するため、異常な通信として検知されにくいのです。
この戦術の危険性は、技術的な巧妙さだけにとどまりません。Mustang Pandaは2012年頃から活動する中国系APT(高度持続的脅威)グループで、アジア太平洋地域の政府機関を継続的に標的としてきた実績があります。
台湾の国家安全局が今月初めに同グループを重要インフラへの主要脅威にランク付けしたのも、単発の攻撃ではなく長期的なスパイ活動を展開する能力を持つことへの警戒からです。
技術面では、CoolClientバックドアの進化も見逃せません。クリップボード監視、アクティブウィンドウタイトル追跡、HTTPプロキシ認証情報スニッフィングといった新機能は、ユーザーの作業内容をリアルタイムで把握し、認証情報を横取りする能力を大幅に向上させています。
これらの機能により、攻撃者は単にファイルを盗むだけでなく、ユーザーがどのシステムにアクセスしているか、どのような機密情報を扱っているかを詳細に監視できるようになりました。プラグイン拡張機能により、侵入後の状況に応じて追加の攻撃ツールを柔軟に展開できる点も、長期的な潜伏を可能にする要因です。
防御側にとって最大の課題は、正規のソフトウェアやサービスを悪用されることで、従来のセキュリティ対策が機能しにくくなっている点にあります。署名検証やネットワーク監視といった標準的な防御策をすり抜けるため、行動ベースの異常検知やゼロトラストアーキテクチャといった、より高度なセキュリティアプローチが求められます。
地政学的な観点からも、この攻撃キャンペーンは重要な意味を持ちます。標的となったミャンマー、モンゴル、マレーシア、ロシア、パキスタンは、いずれも中国にとって戦略的に重要な近隣国です。
こうした国家が支援するAPTグループの活動は、単なるサイバー犯罪ではなく、外交・経済・安全保障上の情報を収集する国家的な諜報活動の一環として理解する必要があります。Mustang Pandaの活動が2025年を通じて活発化していることは、サイバー空間における地政学的な緊張が今後も継続することを示唆しています。
【用語解説】
Mustang Panda
2012年頃から活動する中国系のAPTグループ。別名「HoneyMyte」「Earth Preta」とも呼ばれる。主にアジア太平洋地域の政府機関や外交関連組織を標的とし、長期的なスパイ活動を展開することで知られている。
APT(Advanced Persistent Threat)
高度持続的脅威。国家や組織の支援を受けた攻撃者グループが、特定の標的に対して長期間にわたり継続的に侵入・潜伏し、機密情報を窃取する攻撃手法を指す。
バックドア
正規の認証手続きを経ずにシステムへ不正アクセスするための「裏口」となるマルウェア。攻撃者が遠隔から侵入したコンピュータを自由に操作できるようにする。
DLLサイドローディング
正規の署名済みプログラムが読み込むDLL(動的リンクライブラリ)ファイルを悪意あるものにすり替え、正規プログラムを起動させることでマルウェアを実行する攻撃手法。セキュリティソフトによる検知を回避しやすい。
C2サーバー(Command and Control Server)
マルウェアに指令を送ったり、盗んだデータを受信したりする攻撃者が管理するサーバー。コマンド&コントロールサーバーの略称。
供給チェーン攻撃
ソフトウェアやハードウェアの開発・流通過程に侵入し、正規の製品にマルウェアを混入させて配布する攻撃手法。ユーザーは正規品を使用しているつもりで感染する。
ゼロトラストアーキテクチャ
「信頼できるネットワーク内部」という概念を排除し、すべてのアクセスを常に検証・認証する新しいセキュリティモデル。「決して信頼せず、常に検証する」が基本原則。
クリップボード監視
ユーザーがコピー&ペーストした内容を記録する機能。パスワードや機密情報がクリップボードに一時保存されることを悪用して情報を窃取する。
キーロガー
ユーザーのキーボード入力をすべて記録するマルウェア機能。パスワードやクレジットカード番号などの機密情報を盗むために使用される。
【参考リンク】
Kaspersky(外部)
ロシア本社のサイバーセキュリティ企業。今回のCoolClient分析を発表した研究チーム。
Sangfor Technologies(外部)
中国深センのサイバーセキュリティ企業。正規ソフトが今回の攻撃経路に悪用された。
Google Drive(外部)
Googleのクラウドストレージサービス。APIトークンが盗難データの流出先に悪用された。
Pixeldrain(外部)
無料ファイル共有サービス。正規サービスを悪用したデータ流出に使用された。
【参考記事】
Mustang Panda Deploys Updated COOLCLIENT Backdoor with Infostealer Capabilities(外部)
The Hacker Newsの報道。Chrome、Edge、Chromiumベースブラウザから認証情報を盗む3つのバリアントを詳報。
HoneyMyte updates CoolClient backdoor, uses new data exfiltration and espionage techniques(外部)
Kaspersky公式の技術レポート。クリップボード監視やHTTPプロキシ認証情報スニッフィングなどの新機能を解説。
Kaspersky reveals new HoneyMyte APT campaigns and toolset(外部)
Kasperskyのプレスリリース。HoneyMyte(Mustang Panda)の新キャンペーンとツールセットについて発表。
Mustang Panda APT Updates CoolClient Backdoor Targets Governments(外部)
CoolClientの進化とプラグインエコシステムの拡張を詳細に報告。リモートシェル、サービス管理、ファイル管理の各プラグインを分析。
Mustang Panda: Persistent Threat Of A China Aligned APT Group(外部)
2012年からの活動履歴を持つMustang Pandaの長期的な脅威を解説。アジア太平洋地域への継続的な標的型攻撃を分析。
Carderbee: APT Group use Legit Software in Supply Chain Attacks(外部)
供給チェーン攻撃での正規ソフトウェア悪用について解説。署名済みバイナリの悪用が検知を困難にする仕組みを分析。
【編集部後記】
正規のソフトウェアやクラウドサービスが攻撃の隠れ蓑になる時代、私たちはどこまで「信頼」できるのでしょうか。今回の事例は政府機関への攻撃ですが、同じ手法が企業や個人を標的にする日も遠くないかもしれません。みなさんの組織では、クラウドサービスへの通信をどこまで監視していますか?
正規ソフトウェアのアップデート経路は検証されているでしょうか。完璧な防御は難しいとしても、こうした問いを持つことが最初の一歩になると私は考えています。未来の脅威について、一緒に考えていきませんか。
がもたらす「アンテザード・ソサエティ」の衝撃-300x200.png)
