Volexityは3月22日(米国時間)、「Storm Cloud on the Horizon: GIMMICK Malware Strikes at macOS|Volexity」において、サイバー犯罪グループ「Storm Cloud」が使用するマルウェア「GIMMICK」の亜種を発見したと伝えた。このマルウェアはWindowsを標的としたものだが、今回の亜種はmacOSで動作すると注意を促している。
サイバー犯罪グループ「Storm Cloud」は主にアジア全域の組織を攻撃するグループで、中国のスパイ系脅威アクターとして認識されている。GIMMICKはStorm Cloudによって使われているマルウェアで、機能が豊富でさまざまなサイバー攻撃に使われている。
GIMMICKはマルウェアとしてはかなり複雑と認識されている。スレッドやロック機構などが必要であり、複雑な非同期設計がその一因にある。今回発見されたmacOS版のGIMMICKはObjective Cで開発されており、.NETとDelphiを使って開発されているWindows版とは異なっているとの説明も行われている。
Volexityは、GIMMICKマルウェアをmacOSへ移植させる作業は決して簡単なものとは言い難く、Storm Cloudが豊富な資金を持ち、熟練し、多目的に活動していることを示唆するものと指摘している。高度に組織化されたグループである可能性がある。
サイバー犯罪アクターのグループ化・組織化が進んでいることは以前から指摘されている。最近では、ランサムウェア「Conti」を操るサイバー犯罪組織の内部構造が明らかになり、通常の大規模なテクノロジー企業と同じように運営されている組織であることが明らかになった(参照「ランサムウェア「Conti」操る犯罪組織の驚くべき正体判明、内部分裂か | TECH+」)。こうした取り組みは今後も加速する可能性があり、永続的な組織から効果的なサイバー攻撃が長期にわたって実施される危険性があり注意が必要。