国家支援型サイバースパイグループ「TGR-STA-1030/UNC6619」が、155カ国の政府インフラを標的とした大規模なサイバースパイ作戦「Shadow Campaigns」を展開していたことが明らかになった。37カ国で実際の侵害が確認されており、その規模と手法の高度さから、セキュリティ業界に大きな衝撃を与えている。本記事では、この脅威アクターの手口、標的、独自ツールについて詳しく解説する。
この記事のポイント
- 155カ国の政府機関を標的とし、37カ国で実際の侵害が確認された大規模スパイ作戦
- eBPFカーネルルートキット「ShadowGuard」など独自の高度なツールを使用
- 各国の政治イベント(選挙・政府閉鎖)に合わせた戦略的なタイミングで攻撃を実施
作戦の規模とタイムライン
「Shadow Campaigns」は少なくとも2024年1月から活動を開始し、2025年11月から12月にかけて活動が激化した。Palo Alto NetworksのUnit 42の研究者らは、「アジアから活動している可能性が高い」と高い確信を持って評価しているが、決定的な帰属は保留中としている。
標的となったのは、政府省庁、法執行機関、国境管理、財務、貿易、エネルギー、鉱業、移民、外交機関など多岐にわたる。確認された侵害先には、ブラジルの鉱業エネルギー省、メキシコの政府省庁、マレーシアの複数の政府部門、台湾の電力設備業者、オーストラリア財務省(接続試行)が含まれる。欧州ではキプロス、チェコ、ドイツ、ギリシャ、イタリア、ポーランド、ポルトガル、セルビアの政府が標的となり、アフリカではコンゴ民主共和国、ジブチ、エチオピア、ナミビア、ニジェール、ナイジェリア、ザンビアのインフラが狙われた。
特に注目すべきは、攻撃のタイミングが各国の政治的イベントと連動している点だ。2025年10月の米国政府閉鎖の時期にはアメリカ大陸への集中的なアクセスが確認され、ホンジュラスでは国政選挙前に激しい偵察活動が行われた。
攻撃手法の詳細
初期アクセスには、政府関係者を狙った高度に標的化されたフィッシングメールが使用された。メールの内容は省庁の再編に言及するなど、受信者が開封しやすいよう巧妙に作り込まれていた。悪意のあるアーカイブはMega.nzでホストされ、「Diaoyu」ローダーとゼロバイトのPNGファイル「pic1.png」が含まれていた。
研究者によると、「ゼロバイトの画像はファイルベースの整合性チェックとして機能する。このファイルが存在しない場合、マルウェアは実行を終了する」とのことだ。これはサンドボックス解析を回避するための独自の手法と考えられる。
ローダーはCobalt Strikeペイロードと VShellコマンド&コントロール(C2)フレームワークをフェッチする。検出回避のため、Kaspersky、Avira、Bitdefender、SentinelOne、Nortonのプロセスをチェックし、これらが存在する場合は動作を変更する。さらに、SAP Solution Manager、Microsoft Exchange Server、D-Link機器、Windowsの脆弱性を含む少なくとも15件の既知の脆弱性が悪用された。
独自ツール「ShadowGuard」ルートキット
この脅威グループを特に危険なものにしているのが、独自開発のLinuxカーネルeBPFルートキット「ShadowGuard」だ。eBPF(extended Berkeley Packet Filter)はLinuxカーネルの正規機能だが、これを悪用することでカーネルレベルで動作し、セキュリティツールが検知する前にシステムの核心的な機能と監査ログを操作できる。
具体的には、ShadowGuardは悪意のあるプロセス情報を隠蔽し、最大32個のプロセスIDを監視ツールから隠し、「swsecret」という名前のファイルやディレクトリを不可視にする。研究者は、「セキュリティツールが真のデータを確認する前に、コアシステム機能と監査ログを操作できる」と警告している。これにより、従来のセキュリティ製品による検出が極めて困難になっている。
C2インフラと運用の巧妙さ
ツールキットには、Webシェル(Behinder、Godzilla、Neo-reGeorg)、トンネリングツール(GOST、FRPS、IOX)が含まれ、C2インフラは米国、シンガポール、英国の被害者向けVPSプロバイダーに加え、レジデンシャルプロキシとTorを使用して構築されている。
特筆すべきは、C2ドメインの選択が標的に合わせて巧妙に行われている点だ。フランス語圏の国を標的とする場合には「.gouv」拡張子を使用し、欧州での作戦では「dog3rj[.]tech」というドメインを使用した。これは暗号通貨「DOGE Jr」や米国の政府効率化省(DOGE)の用語を参照している可能性がある。
Unit 42は、TGR-STA-1030/UNC6619を「運用面で成熟したスパイアクター」と評価し、「戦略的、経済的、政治的インテリジェンス」を優先していると分析。すでに世界中の数十の政府に影響を与えており、今後もその活動が続く可能性が高いと警告している。
知っておくと便利なTips
- eBPFルートキットはLinuxの正規機能を悪用するため、従来のアンチウイルスでは検出が困難。カーネルレベルの監視ツール(例:Falco、Tracee)の導入を検討すべき
- フィッシングメールの特徴として「省庁再編」など組織変更に関する件名が使われるため、こうしたメールには特に注意が必要
- Mega.nzからのファイルダウンロードを組織のプロキシやファイアウォールでブロックすることも有効な対策の一つ
- SAP Solution ManagerやMicrosoft Exchange Serverなど、悪用された脆弱性に対するパッチ適用を最優先で実施すべき
まとめ
「Shadow Campaigns」は、国家支援型サイバースパイ活動がかつてない規模で展開されていることを示す衝撃的な事例だ。155カ国という標的の広さ、eBPFルートキットという高度なツール、政治イベントに合わせた戦略的なタイミングなど、この脅威グループの能力と意図は明確だ。政府機関はもちろん、関連するサプライチェーン上の民間企業も、自組織が標的となりうることを前提としたセキュリティ対策の強化が急務である。パッチ管理の徹底、フィッシング対策の強化、カーネルレベルの監視導入など、多層的な防御戦略を構築することが求められる。
コメント