Palo Alto Networks Unit 42の最新調査により、アジアを拠点とする国家支援型サイバースパイ集団「TGR-STA-1030」が、過去1年間で37カ国にわたる70以上の政府機関および重要インフラ組織のネットワークに侵入していたことが明らかになりました。この脅威グループは2024年1月から活動を開始しており、そのスケールと高度な手法はセキュリティ業界に大きな衝撃を与えています。
この記事のポイント
- アジアの国家支援型グループ「TGR-STA-1030」が37カ国・70以上の政府機関に侵入
- 155カ国の政府インフラに対して積極的な偵察活動を実施
- Cobalt Strike、VShell、Havocなど複数のC2フレームワークと、Linuxカーネルルートキット「ShadowGuard」を使用
- フィッシングメールとN-day脆弱性の悪用が主な攻撃手法
TGR-STA-1030とは何者か
TGR-STA-1030は、Palo Alto Networks Unit 42が追跡する脅威グループです。名称の「TGR」は一時的な脅威グループ(Temporary Threat Group)、「STA」は国家支援型の動機(State-backed)を意味しています。2024年1月から活動が確認されており、アジア地域を拠点としていると推定されています。
アジア起源と判断された根拠として、地域固有のツールの使用、言語的な特徴、地域の利益に沿ったターゲット選定パターン、そしてGMT+8タイムゾーンでの活動時間帯が挙げられています。これらの要素を総合的に分析した結果、研究者たちはこのグループがアジアの国家機関に支援されていると結論付けました。
攻撃の規模と標的
今回の調査で最も衝撃的なのは、その攻撃規模の大きさです。少なくとも37カ国にわたる70以上の政府機関および重要インフラ組織が侵害を受けました。さらに2025年11月から12月にかけて、155カ国の政府インフラに対する積極的な偵察活動が確認されています。
侵害された組織には、5つの国家レベルの法執行機関・国境管理機関、3つの財務省、そして経済、貿易、天然資源、外交機能を担当する各種政府部門が含まれています。これは情報収集を目的とした、国家的な戦略に基づくサイバースパイ活動であることを強く示唆しています。
攻撃手法の詳細
攻撃キャンペーンは、フィッシングメールから始まります。メールには、ニュージーランドのMEGAファイルサービス上にホストされたリンクが含まれており、受信者がリンクをクリックすると「Diaoyu Loader」と呼ばれるマルウェアと、整合性チェック用のゼロバイトファイル「pic1.png」がダウンロードされます。
Diaoyu Loaderには高度な検知回避技術が組み込まれています。具体的には、画面の水平解像度が最低1440ピクセルであることを要求し(サンドボックス環境の検出)、PNGファイルの存在を確認してから実行を開始します。さらに、Avira、Bitdefender、Kaspersky、Sentinel One、Symantecといった特定のアンチウイルスソフトウェアの存在もスキャンし、検出された場合の挙動を変更します。
また、Microsoft、SAP、Atlassian、Ruijieyi Networks、Commvault、Eyou Email Systemなどの製品に影響するN-day脆弱性(既知の脆弱性)も積極的に悪用しています。ただし、ゼロデイ脆弱性の使用は現時点では確認されていません。
使用されるマルウェアとツール群
TGR-STA-1030は非常に多様なツールキットを駆使しています。C2(コマンド&コントロール)フレームワークとしてはCobalt Strike、VShell、Havoc、Sliver、SparkRATの5種類が確認されています。Webシェルとしては、Behinder、neo-reGeorg、Godzillaが使用されています。
トンネリングツールとしては、GO Simple Tunnel(GOST)、Fast Reverse Proxy Server(FRPS)、IOXが利用されており、ネットワーク通信を秘匿するために活用されています。
特に注目すべきは、Linux環境向けの「ShadowGuard」というカーネルルートキットです。このルートキットはeBPF(Extended Berkeley Packet Filter)技術を利用して、プロセスを隠蔽し、「swsecret」という名前のディレクトリを隠すことができます。eBPFはもともとネットワーク監視やパフォーマンス分析のために設計されたLinuxカーネル技術ですが、攻撃者はこれを悪用してカーネルレベルでの検出回避を実現しています。
インフラ構造と運用体制
攻撃者は正規のVPSプロバイダー上にC2サーバーをリースして設定し、追加のVPSインフラをトラフィックリレーとして使用しています。この手法により、攻撃元の追跡を困難にしつつ、安定した通信チャネルを維持しています。
複数のターゲットに対して数カ月間にわたるアクセスを維持し、継続的な情報収集を行っていることから、組織的かつ持続的な運用体制が敷かれていることが伺えます。
知っておくと便利なTips
- N-day脆弱性が主な侵入経路であるため、パッチ管理の迅速な適用が最も効果的な防御策となる
- eBPFベースのルートキットは従来のアンチウイルスでは検出が困難なため、カーネルレベルの監視ツール(例:Falco、Tracee)の導入を検討すべき
- MEGAなどの正規ファイル共有サービスからのダウンロードリンクを含むフィッシングメールに特に警戒が必要
- 画面解像度チェックなどのサンドボックス回避技術は、マルウェア解析環境の設定を見直す際の参考になる
まとめ
TGR-STA-1030による大規模サイバースパイキャンペーンは、国家支援型の脅威がますます高度化・広範化していることを如実に示しています。37カ国70以上の政府機関への侵入、155カ国への偵察活動という規模は、一般的なサイバー犯罪グループでは到底実現できないレベルです。特に、eBPFを活用したカーネルルートキット「ShadowGuard」の存在は、Linux環境のセキュリティにおける新たな脅威の出現を意味します。組織としては、パッチ管理の徹底、フィッシング対策の強化、そしてカーネルレベルの監視体制の構築が急務といえるでしょう。
📎 元記事: https://thehackernews.com/2026/02/asian-state-backed-group-tgr-sta-1030.html
コメント