東南アジアで新たなサイバー諜報活動　「Amaranth-Dragon」の実態判明

チェック・ポイント・リサーチ（以下、CPR）は、東南アジア全域の政府機関および法執行機関を標的とするサイバー諜報活動について、新たな調査結果を発表した。これまで公的に報告されていなかった脅威アクター「Amaranth-Dragon」によるものとみられ、中国関連の「APT41」との密接な関連性が示唆されている。

ASEAN地域で確認された組織的な諜報キャンペーン

CPRは2025年を通じ、ASEAN地域全域で政府機関および法執行機関を標的とする標的型サイバー諜報キャンペーンを発見した。これらの活動は機会主義的なサイバー犯罪とは異なり、情報の収集を目的としている点が特徴である。

キャンペーンは、地域の政治情勢や政府の公式決定、安全保障上の出来事と時期を合わせて計画されており、攻撃者はターゲットにとって身近かつタイムリーな文脈と結び付けたルアーを用いることで、反応や関与を促していた。

CPRは、これらの活動を、これまで公的に確認されていなかった脅威グループ「Amaranth-Dragon」によるものと分析している。

WinRAR脆弱性を数日で武器化

同グループの活動で注目されるのが、脆弱性の公開を即座に攻撃へ組み込む対応速度である。広く普及している圧縮ユーティリティ「WinRAR」に影響する脆弱性CVE-2025-8088が公表された後、わずか数日で実運用中のキャンペーンに組み込まれていたことが確認された。

この迅速な武器化の動きは、Amaranth-Dragonの技術的成熟度と準備態勢の高さを示すものとCPRは指摘している。

国別最適化を徹底した作戦設計

CPRは2025年3月以降、カンボジア、タイ、ラオス、インドネシア、シンガポール、フィリピンを標的とした複数のキャンペーンを追跡した。いずれの作戦も一度に1～2カ国に標的を限定するなど、厳密な範囲設定が行われていた。

攻撃者は大量配信型の攻撃ではなく、政府の給与発表や地域の合同演習など、各国の政治・経済・軍事動向に合わせてルアーを調整していた。悪意あるアーカイブファイルは、一般に知られたクラウドプラットフォーム上にホストされ、正当性を装っていた可能性がある。

また、攻撃インフラは標的国以外からの接続を拒否するなど、活動拡散を抑制する高度な統制が確認された。このレベルの制御は一般的なサイバー犯罪ではまれであり、国家関連の活動との関連性が示唆されている。

APT41との複数の共通点

技術面および運用面の複数の指標から、Amaranth-Dragonと中国のサイバー諜報グループ「APT41」との結び付きが示唆されている。両者は東南アジアの政府機関および法執行機関に重点を置いている点や、ツール開発、キャンペーン実行手法などに共通点が見られる。

さらに、インフラ管理や運用タイミング、開発手法のパターンから、UTC+8タイムゾーン内で活動する潤沢なリソースを持つチームの存在が示唆されている。

これらの要素を総合すると、Amaranth-DragonはAPT41エコシステムと密接に関係している、あるいはその一部として活動している可能性が高いとCPRは分析している。

防御側に求められる対応

CPRは、迅速なパッチ適用やファイルベース脅威への可視性向上、エンドポイントと通信チャネルを横断したセキュリティ対策の重要性に言及している。

出典：PRTimes チェック・ポイント・リサーチ、東南アジア全域で標的型サイバー諜報活動を展開する「Amaranth-Dragon」の調査結果を新たに発表