中国複数グループが「ToolShell」攻撃を展開 - 攻撃拡大に懸念

「Linen Typhoon」は、別名「APT27」や「EMISSARY PANDA」「Red Phoenix」「Hippo」「Lucky Mouse」「BOWSER」「IODINE」「Wekby2」「UNC215」「TG-3390」とも呼ばれているグループ。

2012年以降、おもに政府、防衛、戦略計画、人権関連の組織を標的として活動してきた。これまでも既知の脆弱性を用いてドライブバイダウンロード攻撃を行っている。

一方、諜報活動を行っていると見られる「Violet Typhoon」は、「APT31」「JUDGMENT PANDA」「ZIRCONIUM」「Chameleon」「WebFans」としても知られている。

おもに米国、欧州、東アジアにおける元政府や軍関係者、NGO、シンクタンク、研究教育機関、メディア、金融、医療分野などを標的に攻撃を展開。ウェブインフラの脆弱性などを探索し、ウェブシェルなどを設置する攻撃などが確認されている。

「Storm-2603」は、ほかの中国系脅威グループとの関連性は不明だが、中国を拠点とした脅威グループと疑われている。

マイクロソフトでは「SharePoint」の脆弱性を利用して「MachineKey」を盗み出す同グループの活動を追跡しており、過去には「Warlock」「Lockbit」といったランサムウェアを用いていたことも観測しているという。

（Security NEXT - 2025/07/24 ）ツイート