Dark Readingの記事で取り上げられているのは、中国系のAPT(高度標的型攻撃グループ)とされる Silver Fox が、税務調査・税金の未申告・罰則通知のような文面を使って組織をだまし、マルウェアを送り込んだという話です。
最初はインドの税務当局を装ったメールから始まり、その後ロシアの組織にも同じような手口を広げたとされています。
この「税金」「監査」「罰則」というテーマ、かなり地味なのに効きます。なぜかというと、公的機関っぽい文面は、それだけで人を緊張させるからです。
個人的にも、これはかなりうまい攻撃テーマだと思います。
不自然に派手な当選通知や偽の宅配メールより、**“税務署からの連絡です”** のほうが、妙にリアルで焦る。人間の心理を突くのが本当にうまいんですよね。
Kasperskyの報告によると、攻撃メールはだいたい次のような流れでした。
ここで出てくる RAT は Remote Access Trojan の略で、ざっくり言うと 攻撃者が遠隔からPCを操作できるマルウェア です。
「勝手に見られる」「勝手に動かせる」「勝手にデータを持ち出される」という、かなり嫌なやつです。
しかも今回の攻撃では、PDFの中に悪意あるZIP/RARへのリンクが埋め込まれていたケースもあったそうです。
つまり、メール本文だけで終わらず、添付ファイルやリンクの中にさらに罠を重ねる構造です。こういう“多層仕立て”は、いかにも現代のフィッシングらしいですね。
Kasperskyは、1月初旬から2月初旬にかけて1,600通以上の悪意あるメッセージを記録したとしています。
狙われた業種は、工業、コンサルティング、小売、運輸など多岐にわたりました。
ここが面白いというか、いや、面白いというより怖いのですが、攻撃者は特定業種だけを狙うというより、「税務通知に反応しそうな相手」を広くばらまいているようにも見えます。
つまり、かなり効率重視です。
1社をじっくり狙うというより、**“刺さる人がいれば勝ち”** の発想に近いのではないかと思います。
今回のニュースで特に重要なのは、ABCDoor という、これまで知られていなかったバックドアが確認されたことです。
バックドアは、簡単に言えば 「こっそり残された裏口」 です。
攻撃者があとから戻ってきて、自由に操作するための入口ですね。
ABCDoorについてKasperskyは、少なくとも 2024年末ごろからSilver Foxが使っていた とみており、2025年第1四半期から現在まで実戦投入されていた としています。
つまり、「最近見つかったけど、実はもう前から使われていた」というパターンです。こういうの、発見した瞬間よりも、**“どれだけ長く気づかれていなかったのか”** のほうがゾッとします。
記事によると、ABCDoorは次のような動きをします。
正直、ABCDoorはかなり“盛りだくさん”です。
単なる裏口ではなく、偵察・操作・隠蔽・撤退までできる、小型の侵入基盤みたいな印象です。
こういうマルウェアを見ると、攻撃者はもう「壊す」だけではなく、静かに居座って、必要なときにだけ動く方向にかなり洗練されているんだなと感じます。
Silver Foxは中国系とされる脅威グループで、以前から活動が確認されています。
記事では、彼らはまるで “スイスアーミーナイフ” のような存在だと表現されています。つまり、用途が一つではなく、いろいろな攻撃手口を使い分けるタイプです。
主な特徴としては:
この「目的が一枚岩ではない」という点は、かなり重要です。
中国系APTは一般に諜報寄りのイメージがありますが、Silver Foxはそこにとどまらず、お金儲けっぽい動きも混ざるのが特徴だとされています。
記事でも、このような“目的の混在”は中国系グループでは珍しいと触れられていました。
また、これまでの主な標的は 台湾、北米、日本 だったとのこと。
今回のキャンペーンは、ロシアを新たに狙った点が重要です。
つまり、Silver Foxは地域的な活動範囲を広げ始めているわけで、これは今後の被害地図が変わる可能性を示しています。
さらに、RustSL loader の設定に 日本 が追加されていることにも触れられています。
これは、「この国向けの実行条件を組み込んでいる」という意味で、将来的にターゲット国を増やせる余地もあるとKasperskyは見ています。
この記事を読んであらためて思うのは、メールはやっぱり弱点になりやすいということです。
どれだけセキュリティ教育をしても、攻撃者は「それっぽい文面」を作るだけで、誰か一人を引っかけられる可能性がある。
そして、攻撃側は1回のクリック成功で十分なのに、防御側は全部を見逃さないことを求められる。これはかなり不利です。
Kasperskyも、すべてのメールを疑って確認すること、そして定期的な教育の必要性を強調しています。
ただ、個人的には「訓練だけで何とかする」のは限界があるとも思います。
だからこそ、記事後半で挙げられていたような 技術的な防御 が大事になります。
この中で特に大事だと思うのは、「メールだけに頼らない」 ことです。
人はミスをする前提で、システム側で被害を小さくする。
この記事のメッセージを一言でまとめるなら、まさに “assume breach”、つまり 「いつか侵入される前提で備えよ」 ということだと思います。
Silver Foxの今回の攻撃は、税務メールという地味だけど刺さりやすいテーマを使い、インドとロシアの組織に対して巧妙にマルウェアを送り込んだキャンペーンでした。
新顔のバックドア ABCDoor が見つかったのも大きなポイントです。
派手さはないですが、かなり現実的で、かなりいやらしい攻撃です。
そして何より、「公的機関を名乗るメールだから安全」なんてことは全然ない、という当たり前だけど大事な教訓を突きつけてきます。
メールを疑う。添付を疑う。リンクを疑う。
この基本が、やっぱり一番強いのだと思います。
参考: Silver Fox Springs Tax-Themed Attacks on Orgs in India, Russia
