拡大する中国語のマルウェアキャンペーン

2023年になって以降、中国語話者向けのマルウェアキャンペーンが増加している傾向がみられます。
どんな例があるでしょう。

• Gh0stRAT / Sainbox
  Gh0stRATは2008年に初めて観測されたRAT、リモートアクセストロイです。
  このRATの生成ツールはオンラインで入手可能で、ソースコードも公開されています。
  このため、多数の亜種が生まれてきていますし、Gh0stRATそのものも変更が加えられてきています。
  Sainboxは、このGh0stRATの亜種の1つです。
  このマルウェアは、大抵はメールを入り口として攻撃が開始されます。
  zip形式の実行ファイルにリンクするURLが直接メール本文に記載されているパターンのものもありますし、URLを含むExcelの添付ファイルが使われるパターンもあります。

   

• Purple Fox
  Purple Foxは、脆弱性攻撃ツールです。
  ここのところの傾向としては、正規のアプリインストーラを偽装したトロイの木馬型ソフトウェアパッケージを入り口として始まるケースが増えています。
  このマルウェアは中国語話者をターゲットとした事例も多くみられますが、それだけでなく、日本語話者向けの事例も観測されています。
  攻撃に用いられる関連する文書は日本語で作成されていますので、うっかりのミスを誘う仕上がりになってしまっていると考えられます。

   

• ValleyRAT
  Gh0stRAT、Sainbox、Purple Foxは、いずれも更新はされていますが、新しいものではありません。
  このValleyRATは新しいマルウェアで、リモートアクセストロイです。
  このマルウェアは多くのキャンペーンで使用されていることが確認されていますが、多くの例ではメールが入口になっています。
  基本的なRATの機能は有していますし、活動開始前に活動しようとしている環境が仮想環境であるかどうかの確認を行う機能も実装されています。

これらを例としてみることが出来るように、中国語話者による中国語話者向けの攻撃キャンペーンが増えてきています。
そしてこれらの最近の活動の例から、古いマルウェアの継続的な更新、新しいマルウェアの登場、日本語をはじめとする他の言語への対応、などが確認できます。
ここ数年ロシア語話者による脅威活動の割合は大きなものとなっていますが、このバランスに変化を起こすことになるような気配もあります。

参考記事（外部リンク）：サイバー犯罪の脅威に中国製マルウェアが本格的に参入
www.proofpoint.com/jp/blog/threat-insight/chinese-malware-appears-earnest-across-cybercrime-threat-landscape