パキスタン関連ハッカー集団がインド政府機関を標的にー新たな攻撃手法「Gopher Strike」「Sheet Attack」を解析

セキュリティ企業Zscaler ThreatLabzが、パキスタンを拠点とする脅威アクターによるインド政府機関への2つのサイバー攻撃キャンペーンを検出しました。「Gopher Strike」と「Sheet Attack」と名付けられたこれらの攻撃は、これまで文書化されていなかった新しい手法を使用しており、国家支援型サイバー攻撃の高度化を示しています。

この記事のポイント
攻撃キャンペーンの概要
Gopher Strike攻撃の手法
Sheet Attack攻撃の手法
使用されるマルウェア群
高度な運用セキュリティ
知っておくと便利なTips
まとめ

この記事のポイント

パキスタン関連のAPT（Advanced Persistent Threat）による2つの新たな攻撃キャンペーンが発見された
Golang（Go言語）で開発された3種類の新型マルウェアツールが使用されている
Google Sheets、Firebase、GitHubなど正規サービスを悪用したC2（指令・制御）通信が特徴

攻撃キャンペーンの概要

Zscaler ThreatLabzの研究チームは2025年9月に、インド政府機関を標的とした2つのサイバー攻撃キャンペーンを特定しました。「Gopher Strike」と「Sheet Attack」と命名されたこれらの攻撃は、パキスタンを拠点とする脅威アクターによるものと中程度の確信度で評価されています。

研究者らは「今回の分析で特定された活動は、APT36と並行して活動する新しいサブグループ、または別のパキスタン関連グループから発生している可能性がある」と述べています。APT36は、インドを主要な標的とすることで知られるパキスタン関連の持続的標的型攻撃グループです。

Gopher Strike攻撃の手法

「Gopher Strike」キャンペーンでは、Adobe Acrobat Reader DCの偽アップデートを促すPDFドキュメントを添付したフィッシングメールが使用されています。特筆すべきは、悪意のあるISOペイロードがダウンロードされる条件です。リクエストがインドのIPアドレスから発信され、かつWindows User-Agent文字列を使用している場合にのみダウンロードが実行されます。

この手法により、自動化された分析システムやセキュリティ研究者によるサンドボックス環境での検出を回避しています。地理的なターゲティングと環境チェックを組み合わせることで、攻撃者は標的を絞り込みながら分析を困難にしています。

Sheet Attack攻撃の手法

「Sheet Attack」キャンペーンは、正規のクラウドサービスを悪用したC2（Command and Control：指令・制御）通信が特徴です。具体的には以下のサービスが悪用されています：

Google Sheets: データの保存と取得
Firebase: リアルタイム通信
電子メール: コマンドの送受信

正規サービスを利用することで、ネットワーク監視システムによる検出を回避し、悪意のあるトラフィックを通常のビジネス通信に紛れ込ませています。

使用されるマルウェア群

攻撃チェーンでは、Go言語（Golang）で開発された3種類のツールが展開されます：

GOGITTER

ダウンローダーとして機能し、スケジュールされたタスクを通じて永続性を確立します。30秒ごとにVBScriptコマンドを取得し、追加のペイロードをダウンロードする役割を担います。

GITSHELLPAD

プライベートGitHubリポジトリをC2サーバーとして利用する軽量バックドアです。15秒ごとにポーリングを行い、コマンドを受信・実行します。GitHubという広く信頼されているプラットフォームを悪用することで、ファイアウォールやプロキシによるブロックを回避しています。

GOSHELL

複数回のデコードラウンドを経てCobalt Strike Beaconを配信するローダーです。注目すべき特徴として、ファイルサイズが約1GBに人工的に膨張されています。これはアンチウイルスソフトウェアのスキャン制限を悪用し、検出を回避するための手法です。

高度な運用セキュリティ

攻撃者は以下のような高度な運用セキュリティ（OPSEC）対策を実施しています：

GitHubリポジトリをコマンドの保存と結果の流出に使用
コマンドファイルを実行後に削除
使用後にユーティリティを消去
GOSHELLはハードコードされたリストに含まれる特定のホスト名でのみ実行

これらの対策により、フォレンジック分析や攻撃の追跡が極めて困難になっています。

知っておくと便利なTips

正規サービス（Google Sheets、GitHub、Firebaseなど）への異常なトラフィックパターンを監視することが重要
地理的制限を使用する攻撃に対しては、VPNやプロキシを使用した分析環境の構築が有効
Golang製マルウェアは静的解析が比較的容易なため、Go言語のリバースエンジニアリングスキルが防御に役立つ

まとめ

今回発見された「Gopher Strike」と「Sheet Attack」は、国家支援型サイバー攻撃の進化を示す重要な事例です。正規のクラウドサービスやコード共有プラットフォームを悪用し、地理的ターゲティングと高度な運用セキュリティを組み合わせることで、従来のセキュリティ対策の検出を巧みに回避しています。

組織は、信頼されたサービスへの異常なアクセスパターンを監視し、多層的な防御戦略を採用する必要があります。特に、GitHubやGoogle Sheetsなどの正規サービスが攻撃インフラとして悪用される傾向は今後も続くと予想され、これらのプラットフォームに対する可視性の向上が求められます。

📎 元記事: https://thehackernews.com/2026/01/experts-detect-pakistan-linked-cyber.html