日本プルーフポイント株式会社は9月20日、サイバー犯罪の脅威に中国製マルウェアが本格的に参入したと発表した。
同社では2023年初頭以降に、中国のサイバー犯罪と推測される活動に関連するマルウェアのメール配信の増加を確認しており、コモディティ型トロイの木馬 Gh0stRAT の亜種である Sainbox Remote Access Trojan(RAT)や、新たに確認された ValleyRAT マルウェアの配信が試みられているという。
新たに観測された ValleyRAT は、中国語のルアー(おとり文書)やマルウェア、ターゲティングおよび中国語を含むメタデータを含むサイバー犯罪活動の中で新たなマルウェアとして台頭しており、Sainbox RATと関連する亜種も活発化している。Proofpointによれば中国語マルウェアのエコシステムが拡大しているという。
攻撃キャンペーンでは通常、中国で事業を展開するグローバル企業に送信され、メールの件名やコンテンツは中国語で書かれ、請求書、支払い、新製品などのビジネステーマに関連するものが一般的となっている。ターゲットとなるユーザーは、中国語の名前を持つか、中国での事業展開と推測される特定の企業のメールアドレスを持っている。
ほとんどのキャンペーンは、中国語を話す中国語圏のユーザーを標的としているが、プルーフポイントでは日本の組織を標的にしたキャンペーンを1件観測している。日本語のルアーは、比較的きれいな日本語の文章となっているが、改行の位置や感嘆符(!)の使い方、日付の表示方法などが日本の商習慣からは違和感があり、日本語の漢字ではなく、中国語の漢字が多く使われているという特徴がある。
![中国の攻撃者が好む脆弱性一覧/カタール政府特製マルウェア/権威主義国家の米選挙“政治利用” ほか [Scan PREMIUM Monthly Executive Summary 2022年10月度] 画像](/imgs/p/2w5IdCqve0mMIzS4K5kC-28IDAerBQQDAgEA/39660.jpg)
