最新のESET APT活動レポートは、ESETの研究者によって2025年10月から2026年3月までの期間に記録・分析された、APT（持続的標的型）グループの注目すべき活動をまとめています。本レポートでは、当該期間に調査したより広範な脅威動向を代表する事例を取り上げ、主要なトレンドや進展を示しています。なお、本レポートに含まれる内容は、ESETが提供するESET Threat IntelligenceのAPTレポート（有料版）で提供されるサイバーセキュリティインテリジェンスのごく一部となります。

期間中、中国に関連する脅威アクターは世界中で引き続き非常に活発に活動しており、北京の経済および安全保障上の利益に影響を与える地政学的状況に一部左右されながら、スパイ活動を展開していました。ベネズエラにおける米軍の軍事作戦や湾岸地域の継続的な不安定化を受けて、中国関連グループが海外における海運・エネルギー・政治動向に関する情報収集を強化するために動員されている兆候が確認されました。例えば、「FamousSparrow」は海事分野に関連するベネズエラ政府機関を標的としており、米国の介入後における石油輸送の安定性を監視することが目的であった可能性があります。また、「SteppeDriver」はシリア政府ネットワークを標的としており、この活動はシリア復興事業に対する中国の商業的関心と、同地域に存在するウイグル系戦闘員をめぐる安全保障上の懸念の双方を反映している可能性があります。さらに、VirusTotal上では「UNC5221」のSPAWNツールセットの一部と考えられる新たなインプラント「PhiliKit」と、Ivanti VPN機器を標的とする活動が確認されました。また、「NegativeGlimmer」に関する追跡調査により、同グループがカンボジアおよびパナマの政府機関、ならびに韓国のAI・ロボティクス企業を侵害していたことが明らかになりました。特に韓国における標的選定は、「Made in China 2025」において優先される戦略技術への関心と一致しています。

2026年2月末に始まったイランでの戦争は、この期間におけるイラン関連の活動において最も重要な出来事でした。興味深いことに、この紛争の発生と同時に、既存のイラン系APTグループの活動はESETのテレメトリ上では減少しました。これは、イラン政府によるインターネット制限が、これらのグループの活動能力を制限したためであると考えられます。一方で、この状況はイスラエルや米国など、テヘランに対して敵対的とみなされる国々を標的とする代理的なアクターやハクティビストの活動活発化を招いた可能性があります。

また、既知のグループに明確には紐づけられない、イスラエルを標的とした活動の急増も確認されました。帰属不明の活動クラスターとして「Rusty Boots」および「MoKhargosh」は、スパイ能力と破壊力の双方を備えており、ブートキット型ワイパーの展開など高度な攻撃を実施していました。一方、「MOØN Badr」は主にスパイ活動に限定された動きを示しています。

北朝鮮関連の脅威アクターも複数の分野で引き続き活動していました。複数のグループが開発者や暗号資産分野を標的にソーシャルエンジニアリング攻撃を展開し、直接的な資金獲得だけでなく、ソフトウェアサプライチェーン侵害の機会を狙っています。「Lazarus」や「DeceptiveDevelopment」は高価値ターゲットとの長期的な関係構築に注力している一方、「Kimsuky」や「Konni」はより迅速で機会主義的な攻撃を志向しています。また、韓国において「Andariel」が活動を再開し、TigerRATを展開するとともに、液体水素関連機器や原子力産業に関連する企業とみられるエンジニアリング企業内でRookランサムウェアの拡散を試みました。これらの技術は、北朝鮮の弾道ミサイルおよび核開発にとって重要であると考えられます。

さらに、「Lazarus」によるキャンペーンの進化も確認されました。「Operation DreamJob」は欧州のドローンメーカーを標的とし、「Operation DangerousPassword」では、JavaScriptライブラリ「axios」が侵害されました。このライブラリはnpmレジストリで週1億回以上ダウンロードされており、世界中のWebおよびモバイルアプリケーションで広く利用されています。攻撃者は主要メンテナのアカウント情報を悪用して不正なバージョンを公開し、利用システムにトロイの木馬化したコードを注入しましたが、その後検知され削除されました。同時に、「ScarCruft」は中国延辺地域向けのゲームプラットフォームを侵害しており、脱北者や難民など、北朝鮮政権にとって関心のある人物に関する情報収集が目的であった可能性があります。

ロシア関連の脅威アクターは、引き続き主にウクライナおよびその防衛に関係する組織に焦点を当てて活動していました。「Sednit」は、CovenantおよびBeardShellといったマルウェアを用いて、ウクライナ軍関係者、ドローンメーカー、研究機関を標的とするとともに、ウクライナ国外の物流・輸送企業も攻撃対象としました。「Sandworm」は冬季に破壊的活動を強化し、ウクライナの政府機関や民間企業を標的に複数の新たなワイパーを展開しました。特に2025年12月にポーランドのエネルギー企業で発生したデータ破壊インシデントは注目に値し、ESETでは中程度の確度でSandwormによるものと評価しています。ロシア関連アクターによるウクライナ国外での破壊的攻撃は依然として稀ですが、本事例はNATO加盟国の重要インフラに影響を及ぼした点で際立っています。ポーランドがウクライナの電力供給安定化に重要な役割を果たしていることを考慮すると、この攻撃は冬季における電力網への負荷を高める目的で実施された可能性があります。

また、知名度の低いまたは帰属不明のクラスターによる活動も複数確認されました。これには、日本のシンクタンクを標的としたブラウザ・イン・ザ・ブラウザ型フィッシング攻撃、アラビア語話者を標的とするAndroidスパイウェア「Asin」、そしてアラブ首長国連邦の防衛企業に対するSmartOffice CRMサーバー経由の侵害などが含まれます。この侵害では、その後カスタムのポストエクスプロイトツールやリバースプロキシツールが展開されました。

ESET製品は、本レポートで説明されている悪意のある活動から顧客システムを保護します。本レポートの内容は主にESET独自のテレメトリデータに基づいており、ESETの研究者によって検証されています。

ESETのAPT活動レポートは、ESET脅威インテリジェンスサービスの一部として提供している「ESET APTレポート」（有料版）に含まれる膨大なサイバーセキュリティインテリジェンスのごく一部を抜粋したものです。ESET APTレポートの詳細は、ESET脅威インテリジェンスのウェブサイトをご覧ください。