アマランスドラゴン：中国支援のAPTグループが東南アジアでWinRAR脆弱性を悪用したスパイ活動

中国支援のAPTグループ「Amaranth-Dragon」がWinRARの脆弱性を悪用した標的型スパイ活動

Check Point Researchは、中国とつながりのある脅威アクターによるこれまで未確認のサイバースパイ活動キャンペーンを特定し、Amaranth-Dragonと命名しました。この活動は2025年を通じて継続しており、東南アジア全域の政府機関および法執行機関を標的としています。特にカンボジアを中心に情報収集を目的としています。

技術的詳細：WinRARの脆弱性が攻撃の中核

このキャンペーンでは、WinRAR（バージョン6.23以前）の重大な脆弱性CVE-2023-38831が悪用されています。この脆弱性は、特別に細工されたアーカイブファイルを介して**リモートコード実行（RCE）**を可能にします。攻撃者は、被害者に正規の文書に偽装した悪意のあるアーカイブを開かせることで、任意のコードを実行させることができます。

Check Pointの分析によると、Amaranth-Dragonは、中国の高度持続的脅威（APT）グループAPT41とインフラや戦術面で重複が見られます。APT41は、国家支援のスパイ活動と金銭目的のサイバー犯罪の両方で知られています。キャンペーンの全容はまだ調査中ですが、初期の調査結果では以下の手法が使用されていることが示唆されています：

• カスタムマルウェアペイロード：持続性とデータ流出を目的としたもの
• スピアフィッシングメール：主な攻撃ベクトルとして使用
• Living-off-the-land（LotL）技術：検出回避のために利用

影響と戦略的な意味合い

政府機関および法執行機関を標的とするこの活動は、中国の歴史的なサイバースパイ活動の目的と一致しており、特に地政学的に重要な地域での活動が目立ちます。東南アジアは長らくAPT活動のホットスポットであり、APT41やMustang Pandaなどのグループが頻繁に活動しています。

このキャンペーンがもたらす主なリスクには以下が含まれます：

• 機密性の高い政府・諜報データの窃取
• 法執行機関の通信や捜査の侵害
• 盗まれた認証情報や内部アクセスを利用した後続攻撃の可能性

防御のための推奨事項

高リスクセクターのセキュリティチームは、以下の対策を優先的に実施することが推奨されます：

1. パッチ管理：WinRARをバージョン6.23以降に更新し、CVE-2023-38831を緩和する。
2. メールセキュリティ：アーカイブ添付ファイルを含むスピアフィッシングを検出・ブロックするため、高度な脅威防御を導入する。
3. エンドポイント検出および対応（EDR）：WinRARから起動されるcmd.exeやpowershell.exeなどの異常なプロセス実行や、ラテラルムーブメントを監視する。
4. ユーザー啓発：アーカイブファイルを開く前に送信者の信頼性を確認するよう従業員を訓練する。たとえ信頼できる送信元からのファイルであっても注意が必要。
5. ネットワークセグメンテーション：機密システムへのアクセスを制限し、潜在的な侵害の影響を軽減する。

Check Point Researchは、Amaranth-Dragonの活動を引き続き追跡し、調査の進展に応じてさらなる詳細を発表する予定です。標的とされたセクターの組織は、警戒を怠らず、疑わしい活動を関連するサイバーセキュリティ当局に報告することが推奨されます。