Check Point Software Technologiesは3月7日(米国時間)、「Pandas with a Soul: Chinese Espionage Attacks Against Southeast Asian Government Entities - Check Point Research」において、東南アジアの政府機関を標的とするサイバースパイキャンペーンについて伝えた。「Sharp Panda」と呼ばれている中国の攻撃グループが新たなマルウェアを使い、キャンペーンを展開していることが明らかとなった。
このキャンペーンはスピアフィッシングメールによる標的への初期アクセスから始まり、侵入に成功するとRoyalRoad、5.t Downloader、SoulSearcherと多段階のペイロードが実行され、最終的にSoul Frameworkと呼ばれるマルウェアが実行されることが判明している。
キャンペーン自体は以前から進行中で、これまでVictoryDllと呼ばれる独自のカスタムバックドアによるスパイ活動が行われていた。今回新たにダウンローダとしてSoulSearcherが使われ、マルウェアとしてSoul Frameworkが採用されていることが確認されている。
Soul Frameworkはこれまで東南アジアの防衛、医療、IT分野を標的としたサイバースパイキャンペーンで使われており、中国に関連する持続的標的型攻撃(APT: Advanced Persistent Threat)グループの間で利用されているマルウェアと考えられてる。
Check Point Software Technologiesは、このキャンペーンについて、中国に支援された高度な攻撃グループによって演出されたものと分析している。またその他のツールや機能、スパイ活動の広範囲なネットワークについて、まだ調査は進んでいないと伝えている。