ROAMINGMOUSE マルウェア

MirrorFaceとして知られる国家主導の脅威アクターが、日本と台湾の政府機関や公的機関を標的としたサイバースパイ活動に関与していることが明らかになりました。中国と連携し、Earth Kashaとしても知られるこのアクターは、 APT10のサブクラスターとして活動しています。2025年3月現在、セキュリティ研究者らは、スパイ活動に高度なマルウェアツールを使用していることなど、このグループの活動に関する新たな詳細を明らかにしています。

「赤龍作戦」：過去の攻撃が明らかに

Earth Kashaは、日本と台湾で進行中の作戦に加え、2024年8月に欧州連合の外交機関を狙ったサイバー攻撃「Operation AkaiRyū」にも関与していた。この作戦では、UPPERCUTとしても知られるANELバックドアが展開され、機密性の高い標的への不正アクセスにおける同アクターの洗練された戦術が浮き彫りになった。

攻撃戦略：マルウェアの欺瞞的な連鎖

MirrorFaceの活動は、スピアフィッシングメールから始まります。これらのメールには、侵害された正規アカウントから送信されたものもあります。これらのメールには、破損したMicrosoft OneDriveのURLが含まれており、クリックするとZIPファイルがダウンロードされます。ZIPアーカイブ内には、Excel文書とマクロ対応のドロッパー（コードネーム「ROAMINGMOUSE」）が含まれており、これがマルウェアの配信手段として機能します。MirrorFaceが昨年から使用しているROAMINGMOUSEは、複数の悪意のあるコンポーネントを含む追加のZIPファイルをデコードしてドロップします。

マルウェアドロップの主要コンポーネント:

• JSLNTOOL.exe、JSTIEE.exe、または JSVWMNG.exe: 正規のバイナリ
• JSFC.dll (ANELLDR): 悪意のあるDLL
• 暗号化されたANELペイロード：メインのバックドア
• MSVCR100.dll: 正当なDLL依存関係

マルウェアはドロップされると、explorer.exe を使用して正規の実行可能ファイルを起動し、不正な DLL である ANELLDR を通じて ANEL バックドアをサイドロードします。

ANELの強化された機能：サイバースパイ活動の新時代

2025年のキャンペーンで使用されたANELバックドアには、ビーコンオブジェクトファイル（BOF）のメモリ内実行をサポートする新しいコマンドという重要なアップグレードが含まれています。BOFは、 Cobalt Strikeエージェントの機能を拡張し、エクスプロイト後の機能を強化するために設計された小さなCプログラムです。このバックドアがインストールされると、Earth Kashaはスクリーンショットを撮影し、被害者の環境を調査し、さらなるエクスプロイトのためにプロセスリストとドメイン情報を収集できるようになります。

SharpHideとNOOPDOORを活用する

Earth Kashaの背後にいる脅威アクターは、オープンソースツールであるSharpHideを利用して、NOOPDOORバックドア（別名HiddenFace）の新バージョンを起動するケースが見受けられます。このバックドアは、コマンドアンドコントロール（C2）通信に使用されるIPアドレス検索を隠蔽するDNS-over-HTTPS（DoH）をサポートすることで検出を回避するように設計されています。

継続的な脅威と警戒が必要

Earth Kashaは、機密性の高い政府データ、知的財産、アクセス認証情報など、高価値資産を標的とする、依然として活発かつ執拗な脅威です。企業や組織、特にガバナンスやインフラ関連分野の組織は、このような高度で執拗な攻撃から身を守るために、強固なサイバーセキュリティ対策を継続的に実施する必要があります。