組織のレジリエンスを高める
脅威インテリジェンス
厳選されたデータ、APTに関する深い調査、 そして専門家の知見を基盤とした ESET Threat Intelligence により、
世界中の脅威を先読みし、先手を打つことができます。
組織のレジリエンスを高める
CTI(Cyber Threat Intelligence)運用の課題を、
ESETがどのように解決するか
ESET Threat Intelligence が、脅威の“気づき”を
戦略的な意思決定につなげる方法をご紹介します。
世界規模および新興の脅威を可視化
ESET独自のテレメトリにより、これまで観測が難しかった地域のデータも含めて分析。 APTやマルウェアをより早い段階で検知します。
CTIチームのリソース不足やスキルギャップ
専門家による検証済みインテリジェンスとアナリスト支援により、 運用負荷を軽減し、脅威理解を迅速化します。
APT攻撃者と進化する攻撃キャンペーンの追跡
SETのAPTレポートとIoCフィードにより、 攻撃者の活動やキャンペーンの動向を継続的に把握できます。
対応の遅れや膨大な脅威フィードへの対応
AI Advisor、MISP連携、厳選されたフィード、 さらにAPTの詳細なコンテキストにより、 迅速で根拠ある意思決定を可能にします。
CTIの統合と自動化
STIX 2.1 や JSON などの標準フォーマットにより、 SIEM / SOARとの統合や自動化を容易に実現します。
検知だけでなく、予防へ
インテリジェンスフィードを活用することで、 脅威が実際に発生する前に対策やハンティングを実施できます。
ESET Threat Intelligence
の強み
75万件
日次で受信する
不審サンプル数
25億件
日次で分析するURL数
50万件
日次でブロックする
固有URL数
6千万件
日次で処理される
メタデータレコード数
ESETの独自性の高いテレメトリー
数百万のセンサーと、観測が難しい地域までカバーする可視性により、世界規模および新興のサイバー脅威を明確に把握できます。
厳選された統合対応フィード
STIX / JSON形式で提供されるクリーンかつ重複排除済み、信頼度スコア付きのフィードは、SIEM、SOAR、TIPツールとシームレスに連携でき、誤検知と運用負荷を軽減します。
AIと専門家による高度なインテリジェンス
ESETは高度なAI分析と世界トップレベルのリサーチを組み合わせ、単なるデータではなく、正確で文脈を備えた実用的な脅威インテリジェンスを提供します。
ESETアナリストとのコンタクトと詳細な分析
アナリストとの直接コンタクトにより、予防的な防御と戦略的な意思決定を支援します。 さらに、PT・eCrimeに関する独自レポート、突然IoCフィード、AI Advisorの洞察を提供します。
ESET Threat Intelligence
ポートフォリオ
APTレポート
数百万のセンサーと広範な観測網を活用し、 世界および新興のサイバー脅威に関する 詳細な分析情報を提供します。
eCrimeレポート
金銭目的のサイバー犯罪活動や マルウェアエコシステムに関する 実用的なインテリジェンスを提供します。
インテリジェンスフィード
自動化と統合を前提に設計された リアルタイムの厳選データストリームです。
世界で信頼される実績と専門性
ESET Threat Intelligence は、政府機関、重要インフラ事業者、グローバル企業に対し、より広い可視性、より迅速な検知、そして高いレジリエンスを提供します。
ESET は CISA のメンバーとして、世界のサイバー防衛関係者と連携し、協調的なサイバー防衛計画とリアルタイムの脅威インテリジェンス共有を支援しています。
ESET は Europol と連携し、国境を越える脅威の阻止とお客さまの事業継続を支える、実用的な脅威インテリジェンスを提供しています。
ESET は MITRE ATT&CK への主要な貢献者の一つであり、最も多く参照される情報ソースの一つでもあります。
ESET は ENISA と連携し、共同のサイバーセキュリティイベントや専門家参加を通じて、サプライチェーン脅威や欧州の脅威動向に関する分析・知見を共有しています。
ESET は ECSO の「Cybersecurity Made in Europe」認証を取得しており、規制環境下で事業を行う組織に対して、信頼できる主権性の高い保護を提供していることが認められています。
「ESET が独自のデータセットに対して持つ可視性こそが、CTIの領域で ESET を魅力的な存在にしています。」
防衛分野のお客さま
脅威を知り、
攻撃者の一手先を行く
ESET のリサーチとテレメトリは、国家支援型の
スパイ活動から地域特化型の攻撃まで、世界中のAPT活動の背後にある
インフラ、戦術、攻撃キャンペーンを明らかにします。
脅威アクター
紹介
非帰属
ロシア寄り
パキスタン寄り
その他の東アジア系グループ
イラン寄り
インド寄り
中国寄り
- BackdoorDiplomacy
- Blackwood
- Bronze Silhouette
- Ceranakeeper
- CloudSorcerer
- Blackwood
- DigitalRecyclers
- Evasive Panda
- FamousSparrow
- Fishmonger
- Flax Typhoon
- Fontgoblin
- FourFunkyGorillas
- Gallium
- Gelsemium
- GopherWhisper
- Gref
- Ke3chang
- KMA VPN
- LongnosedGoblin
- Lotus Blossom
- LuckyMouse
- MirrorFace
- Mustang Panda
- Perplexedgoblin
- PlushDaemon
- RedFoxtrot
- Sinistereye
- SneakyDragon
- SparklingGoblin
- Speccom
- Startupnation
- Steppedriver
- TA428
- TheWizards
- Tick
- TrappedGoblin
- UnsolicitedBooker
- Websiic
- Webworm
- Winnti Group
- Worok
中央アジア寄り
GOLDENJACKAL
少なくとも2019年から活動している脅威アクターです。既知のツール群は主にスパイ活動に用いられており、欧州、中東、南アジアの政府機関や外交関連組織を標的としています。比較的知られていないグループで、2023年に Kaspersky により初めて公に詳細が報告されました。
ATTOR
ESET の研究者によって特定された、ロシア寄りの脅威アクターです。少なくとも2008年から活動しており、同名のサイバー諜報プラットフォームで知られています。このプラットフォームは、複雑なプラグイン構造と Tor を利用した高度なネットワーク通信機能を備えている点が特徴です。 これまでにリトアニア、ロシア、スロバキア、トルコ、アラブ首長国連邦、ベトナム、ウクライナのユーザーが侵害されています。標的は主に2つで、ロシア語を話すプライバシー意識の高い個人ユーザーと、欧州の外交機関や政府機関を含む重要組織です。
BUHTRAP
ロシアの金融機関や企業を標的とすることで広く知られる脅威アクターです。2015年後半以降、金銭目的のサイバー犯罪を行う純粋な犯罪グループから、東欧および中央アジアでサイバースパイ活動を行うアクターへと変化しました。 このグループがロシア寄りとみられる理由の一つは、ウクライナの標的に対して Windows のゼロデイ脆弱性を悪用する攻撃を実施したことにあります。
CALLISTO
COLDRIVER、SEABORGIUM、Star Blizzard、Blue Callisto、BlueCharlie といった別名でも知られるサイバースパイグループです。少なくとも2015年から活動しており、欧州および北米の政府関係者、シンクタンク、軍関係者を主な標的としています。 主な手法はスピアフィッシングとWebメール認証情報の窃取です。2022年初頭には、ウクライナ政府関係者やウクライナ国有企業の関係者からWebメールの認証情報を盗もうとしました。盗まれた認証情報は、機密メールの閲覧やクラウドストレージからの文書窃取に悪用された可能性があります。これらの活動は、現在のロシア・ウクライナ戦争に関連するサイバースパイ活動の一環であった可能性が高いと考えられます。 2023年には、英国政府が Callisto のメンバー2名に制裁を科し、このグループを FSB 第18情報保安センターと関連付けました。
GAMAREDON
少なくとも2013年から活動している脅威アクターです。これまでに多数の攻撃に関与しており、その多くはウクライナ政府機関を標的としていました。この点は CERT-UA やその他のウクライナ政府機関による複数の報告でも裏付けられています。 ウクライナ保安庁(SBU)は、このグループを、占領下クリミアで活動する FSB 第18情報保安センターと結び付けています。ESET は、このグループが InvisiMole と協力関係にあると考えています。また、2025年初頭以降、Turla との協力も確認しています。
GREENCUBE
ロシア寄りのサイバースパイグループで、少なくとも2022年から活動しています。認証情報を盗むスピアフィッシング攻撃や、Roundcube の XSS 脆弱性を悪用したメール窃取を得意としています。主な標的は、ギリシャ、ポーランド、セルビア、ウクライナの政府機関および防衛関連組織です。
INVISIMOLE
ロシア寄りの脅威グループで、少なくとも2013年から活動しています。政府機関、軍事関連組織、外交機関を標的とした高度に限定的なサイバースパイ活動で知られています。主な標的はウクライナで、2021年以降は活動が活発化しています。アルメニア、ベラルーシ、ギリシャ、ロシアの組織も標的にしてきました。ESET は、このグループが FSB 関連とされる Gamaredon と協力しているとみています。
OPERATION TEXONTO
ウクライナ人やロシア国内の反体制派を標的とした偽情報/心理作戦(PSYOPS)キャンペーンです。さらに ESET は、2023年にウクライナの防衛関連企業およびEU機関を標的とし、Microsoft Office 365 アカウントの認証情報窃取を狙ったスピアフィッシング攻撃も確認しています。Operation Texonto は現時点で特定の脅威アクターには帰属していませんが、TTP、標的、メッセージ拡散の状況から、ロシアの利益に沿うグループによって実施された可能性が高いと考えられます。
ROMCOM
Storm-0978、Tropical Scorpius、UNC2596 の別名でも知られています。ロシア寄りのグループで、特定業種を狙った機会型サイバー犯罪と、情報収集を目的とした標的型スパイ活動の両方を行っています。少なくとも2022年以降、いわゆる「Cuba」ランサムウェアの展開にも関与しているとされています。近年では、ウクライナ政府、防衛分野、NATO加盟国、さらに欧州の複数の政府機関を標的とした活動も確認されています。
SAINTBEAR
UAC-0056、UNC2589、EmberBear、LorecBear、Lorec53、TA471 の別名でも知られるサイバースパイグループです。少なくとも2021年から活動しており、ウクライナとジョージアを標的としています。ロシア寄りとみられており、とくにウクライナ政府分野の重要度の高い標的に強い関心を示しています。侵害した端末には情報窃取型マルウェアやバックドアを展開し、2022年には Cobalt Strike の使用も確認されました。2022年の WhisperGate 攻撃の実行主体である可能性が高いと評価されています。
SANDWORM
ロシア寄りの脅威グループで、さまざまな破壊的攻撃を実行しています。一般的にはロシア軍参謀本部情報総局(GRU)の Unit 74455 に帰属するとされています。2015年と2016年にウクライナのエネルギー分野を攻撃し、大規模停電を引き起こしたことで特に知られています。 ESET はこのグループの活動を複数のサブグループに分けて追跡しています。たとえば TeleBots は、主にウクライナの金融機関への攻撃に関心を持つサブグループです。GreyEnergy は、同名マルウェアを重要インフラに対して集中的に使用することで知られ、ポーランド、ウクライナ、ジョージアのエネルギー企業で確認されています。 2018年には、平昌冬季オリンピックの主催者に対して Olympic Destroyer というワイパー攻撃を実行しました。また、Industroyer のような高度なマルウェアも使用しており、これは産業制御プロトコルを通じてエネルギー企業の設備と通信できる能力を持っています。2020年には、米国司法省がロシア人ハッカー6名を起訴し、このグループによる複数の攻撃の準備・実行に関与したと主張しました。
SEDNIT
APT28、Fancy Bear、Forest Blizzard、Sofacy の別名でも知られています。少なくとも2004年から活動しています。米国司法省は、2016年の米大統領選直前に発生した民主党全国委員会(DNC)への侵害に関与したグループの一つとして名指しし、GRU との関連を指摘しました。 また、国際テレビ局 TV5Monde への攻撃、世界アンチ・ドーピング機構(WADA)のメール流出、そのほか多数の事件にも関与したと考えられています。多様なマルウェアツール群を保有していますが、近年は主として標的型フィッシング攻撃を実施しています。それでも、独自開発の高度なインプラントを展開している例も引き続き確認されています。
THE DUKES
APT29、Cozy Bear、Nobelium の別名でも知られる、著名なサイバースパイグループです。少なくとも2008年から活動しており、英国NCSCによるとロシア対外情報庁(SVR)との関連があるとされています。2016年米大統領選を前に米民主党全国委員会を侵害したグループの一つとしても知られています。 2019年には、ESET が欧州の複数の外務省を標的とした大規模なスパイ活動を明らかにしました。また、2020年の SolarWinds を悪用したサプライチェーン攻撃でも知られ、米国政府機関を含む多くの大規模組織が侵害されました。2021年には、欧州の外交官を狙った複数のスピアフィッシング攻撃にも関与しています。
TURLA
Snake の別名でも知られています。少なくとも2004年から活動しているサイバースパイグループで、起源は1990年代後半までさかのぼる可能性もあります。FSB の一部であると考えられており、欧州、中央アジア、中東の政府機関や外交機関など、重要度の高い標的を主に狙っています。 2008年の米国防総省への侵害や、2014年のスイス防衛企業 RUAG への侵害など、著名な組織に対する攻撃でも知られています。
UAC-0099
ウクライナの政府機関、金融機関、メディアを標的とするサイバースパイグループです。少なくとも2022年から活動しています。標的の傾向から、中程度の確度でロシアの利益に沿ったグループであると考えられています。通常は、C&C(コマンド&コントロール)リンクに “page” という語を含むことに由来する LONEPAGE という PowerShell ダウンローダーを展開します。
VERMIN
UAC-0020 の別名でも知られています。ロシア寄りの脅威グループで、ウクライナの政府機関や軍事関連組織に対するサイバースパイ活動で知られています。少なくとも2015年から活動しており、いわゆる「ルガンスク人民共和国」との関連があるとみられています。
ZEBROCY
UAC-0063 または TAG-110 の別名でも知られています。ロシア寄りの脅威グループで、中央アジアおよびウクライナの政府、軍事、外交関連の標的に対するサイバースパイ活動で知られています。少なくとも2015年から活動しています。 Zebrocy マルウェアツールキットは標的型攻撃キャンペーン向けに使用されており、キーロギング、スクリーンショット取得、偵察、ファイル一覧取得と持ち出しなど、スパイ活動に必要な機能を一通り備えています。モジュール型で開発されているため、更新や新しいモジュールの追加実行が可能です。
TRANSPARENT TRIBE
Operation C-Major、Mythic Leopard、ProjectM、APT36、Earth Karkaddan の別名でも知られています。インド軍および関連組織、さらにパキスタン国内の活動家や市民社会を標的とするサイバースパイグループです。 Trend Micro など複数の調査機関が、パキスタンとの関連を示唆しています。 このグループは主にソーシャルエンジニアリングやフィッシングを用いてマルウェアを展開します。過去には Windows を利用する被害者に対し、特に CrimsonRAT を含むバックドアを展開してきました。また、Android 向けバックドア AndroRAT が使用された例も確認されています。
ARID VIPER
APT-C-23、Desert Falcons、Two-tailed Scorpion の別名でも知られています。少なくとも2013年から活動しているサイバースパイグループで、中東地域の標的を主に狙っています。 主な標的はパレスチナおよびイスラエルで、法執行機関、軍、政府機関のほか、活動家や学生なども対象となっています。 Android、iOS、Windows 向けの多数のマルウェアを保有しており、複数のカスタムバックドアを使用します。 このグループは ハマスと関係し、ガザ地区から活動している可能性がある と考えられています。
BAHAMUT
サイバースパイ活動を専門とするAPTグループです。主な目的は機密情報の窃取と考えられています。 また、さまざまな顧客に対して ハック・フォー・ハイヤー(請負型ハッキング)サービスを提供する“傭兵型グループ” とも呼ばれています。 主に中東および南アジアの組織や個人を標的とし、スピアフィッシングや偽アプリを初期侵入手段として使用します。
BIBIGUN
ハマス支持のハクティビストグループです。2023年のイスラエル・ハマス戦争の期間中に初めて確認されました。 イスラエルの標的に対して ワイパーマルウェア を展開することで知られており、Windows と Linux の両方のバイナリを使用します。 最初のワイパーは 2023年に Security Joes により発見され、同年 ESET も別のワイパーを確認して報告しました。
BLADEHAWK
2020年に発見された中東のサイバースパイグループです。 歴史的にはイラク北部の クルド人コミュニティ を標的としてきました。 Windows と Android のマルウェアを使用して攻撃を行います。 2021年には、Facebook 上の親クルド系コンテンツを利用し、Android バックドアを配布するスパイ活動が ESET により報告されています。
POLONIUM
2022年に初めて確認されたサイバースパイグループで、レバノンを拠点としている可能性があります。 主にイスラエルの組織を標的としています。 ツールセットには 7種類のカスタムバックドア が含まれ、OneDrive や Dropbox を C&C に利用するものや、Dropbox や Mega のクラウドストレージを利用するものなどがあります。 さらに複数の独自モジュールを使って標的を監視します。
STEALTH FALCON
アラブ首長国連邦と関連する脅威グループで、2012年から活動しています。 主に中東の政治活動家、ジャーナリスト、反体制派を標的としています。 2016年に Citizen Lab が公開したスパイウェア攻撃の分析で初めて詳細が報告されました。 2019年には Amnesty International が、Stealth Falcon と Project Raven が同一グループである可能性 を指摘しました。
STRONGPITY
PROMETHIUM または APT-C-41 の別名でも知られるサイバースパイグループです。 少なくとも2012年から活動しており、主にトルコの組織を標的としていますが、世界各地でも活動しています。 従来は Windows 向けの同名マルウェアを使用していましたが、2022年末には トロイ化された Android アプリを配布する2つのキャンペーン も確認されています。
ASYLUM AMBUSCADE
サイバー犯罪グループでありながら、副次的にサイバースパイ活動も行っています。 2022年3月、ロシア・ウクライナ戦争開始から数週間後、ウクライナ難民支援に関わる欧州政府職員 を標的とした攻撃が明らかになり、公に知られるようになりました。
CLOUD ATLAS
Inception Framework の別名でも知られるサイバースパイグループです。 少なくとも2014年から活動しており、Google Security Operations の Chronicle セキュリティブログによると、古いスパイグループ Red October から派生した可能性があります。主な標的は政府機関防衛などの戦略産業の企業で、ロシア、欧州、コーカサス地域を中心に活動しています。
FROSTY NEIGHBOR
UNC1151、DEV-0257、PUSHCHA、Storm-0257、TA445 の別名でも知られています。少なくとも2016年から活動しており、ベラルーシを拠点としているとされています。主にベラルーシ周辺国を対象とし、影響工作、偽情報キャンペーンを実施するほか、政府機関や民間企業への侵入も行っています。特に ウクライナ、ポーランド、リトアニア が主要標的です。
MOUSTACHED BOUNCER
ESET が初めて公表したサイバースパイグループです。 少なくとも2014年から活動しており、 主に ベラルーシにある外国大使館 を標的としています。 2020年以降、このグループはベラルーシ国内の ISP レベルで Adversary-in-the-Middle 攻撃 を実行し、標的を侵害できるようになった可能性があります。
WINTER VIVERN
2021年に発見されたサイバースパイグループで、実際の活動は2020年頃からとみられています。 欧州および中央アジアの政府機関を標的とします。 主な攻撃手法は悪意ある文書、フィッシングサイト、カスタム 、PowerShell バックドアです。2022年以降は Zimbra と Roundcube のメールサーバー を標的とし、2023年には Roundcube の古い XSS 脆弱性を悪用していることが確認されています。
XDSPY
少なくとも2011年から活動しているサイバースパイグループです。東欧(ロシアを含む)およびバルカン地域の軍、外務省、国営企業など政府関連組織を標的とします。主に スピアフィッシングメール を使って侵入します。2020年には、公開情報がほとんど存在しない Internet Explorer の脆弱性を悪用しており、このエクスプロイトをブローカーから購入した可能性があります。
APT-C-60
False Hunter または APT-Q-12 の別名でも知られる、韓国寄りのサイバースパイグループです。少なくとも2018年から活動しており、政府機関、貿易関連業界、シンクタンクなどの重要標的を主に狙っています。注目を集める出来事を利用したり、研究テーマについて意見を求める学生を装ったりして標的を誘導します。スピアフィッシングメールを通じて、独自のダウンローダーやモジュール型バックドアを展開します。複数段階のダウンローダー展開と、プラグインを読み込めるカスタムバックドアの使用が特徴です。
ANDARIEL
Lazarus のサブグループ とみられており、活動は2009年までさかのぼります。主な標的は韓国で、政府機関、軍事組織、銀行、暗号資産取引所、オンラインブローカーなどを狙います。目的はサイバースパイ活動または金銭獲得です。代表的な事例として、2015年のソウル国際航空宇宙・防衛産業展(ADEX)への攻撃や、2019年のインド・クダンクラム原子力発電所(KKNPP)への攻撃が知られています。
DECEPTIVE DEVELOPMENT
2023年に初めて確認された北朝鮮寄りのグループです。主な目的は金銭獲得で、Windows、Linux、macOS 上のソフトウェア開発者を狙い、暗号資産の窃取を図ります。副次的な目的としてサイバースパイ活動も考えられます。SNS上で偽の採用担当者プロフィールを使い、特に暗号資産関連プロジェクトに関わる開発者に接触し、偽の採用プロセスの中でバックドアを仕込んだトロイ化コードベースを配布します。
KIMSUCKY
北朝鮮と関連するサイバースパイグループで、少なくとも2013年から活動しています。当初は韓国関連組織が主な標的でしたが、近年は米国や欧州にも活動範囲を広げています。政府機関、研究機関、暗号資産関連企業、民間企業を標的とし、主目的はサイバースパイ活動と情報収集です。
KONNI
北朝鮮寄りの脅威グループです。2017年に初めて報告され、主にロシアおよび韓国の政治機関を標的としています。スピアフィッシング攻撃によって侵入し、独自の RAT(Remote Administration Tool)を用いて永続化と継続的なアクセスを実現します。一部研究者は ScarCruft(APT37)、Lazarus、Kimsuky のいずれかに属すると見ていますが、ESET はそれを裏付けられていません。
LAZARUS
HIDDEN COBRA の別名でも知られる、北朝鮮に関連するAPTグループです。少なくとも2009年から活動しており、Sony Pictures Entertainment への侵害、2016年の巨額サイバー強奪、2017年の WannaCry(WannaCryptor)流行、さらに2011年以降の韓国の公共・重要インフラへの破壊的攻撃などで知られています。サイバースパイ、サイバー破壊活動、金銭獲得という3つの主要領域すべてに関与する点が特徴です。
OPERATION IN(TER)CEPTION
ESET がこの攻撃シリーズに付けた名称です。少なくとも2019年から継続しており、航空宇宙、軍事、防衛関連企業を標的としています。LinkedIn を悪用したスピアフィッシングや、目立たず潜伏するための巧妙な手口が特徴です。名称が示す通り、主な目的は企業スパイ活動と考えられます。
SCARCRUFT
APT37 または Reaper の別名でも知られる、北朝鮮のスパイグループと疑われるアクターです。少なくとも2012年から活動しており、主に韓国を標的としますが、他のアジア諸国も攻撃対象としています。政府機関、軍事組織、北朝鮮の関心領域に関連する企業への関心が高く、多様なダウンローダー、情報持ち出しツール、バックドアを用いてスパイ活動を行います。
AGRIUS
イランとの関係が疑われるサイバー破壊活動グループで、2020年から活動しています。イスラエルとアラブ首長国連邦の標的を攻撃してきました。初期にはランサムウェアを装ったワイパーを使用していましたが、その後本格的なランサムウェアへと発展させました。インターネット公開アプリケーションの既知の脆弱性を悪用して Web シェルを設置し、その後内部偵察と横展開を行います。
BALLISTIC BOBCAT
以前は APT35 や APT42(Charming Kitten、TA453、PHOSPHORUS)として追跡されていた、イラン国家系と疑われる脅威アクターです。教育、政府、医療機関、人権活動家、ジャーナリストを標的とします。特にイスラエル、中東、米国で活発です。パンデミック時には WHO、Gilead Pharmaceuticals、医療研究者など COVID-19 関連組織も標的にしました。
BLADEDFELINE
イラン寄りのサイバースパイグループで、少なくとも2017年から活動しています。2023年に初めて確認され、クルド系外交官を標的にバックドアを使用していました。2024年には、同じクルド系外交官に加え、イラク政府関係者、ウズベキスタンの地域通信事業者も標的にしています。高い確度で OilRig(APT34 / Hazel Sandstorm)のサブグループと評価されており、BladeHawk や FreshFeline と共通点があります。
CYBERTOUFAN
イスラエルの組織を標的とするサイバー攻撃で知られるグループです。トルコを拠点としている可能性がありますが、攻撃の方向性はイラン政府の目的と一致しています。パレスチナ地域の利益を支援してきた Frankenstein との関連も指摘されており、同様にイランの利益に沿った活動を行っています。ハック・アンド・リーク、情報漏えい、データ破壊などに関与しています。
DOMESTIC KITTEN
APT-C-50 によるキャンペーン名です。2016年以降、イラン国民を対象としたモバイル監視活動を行っていたとされ、2018年に Check Point が報告しました。2019年には Trend Micro が、中東を標的とした悪意ある活動を確認し Bouncing Golf と命名しました。同年 Qianxin もイランを狙う Domestic Kitten の活動を報告し、2020年には 360 Core Security が中東の反政府グループを監視する活動を公開しました。公開報告の最後は 2021年の Check Point のものです。
FRESHFELINE
MosesStaff の別名でも知られる、イランのサイバースパイグループです。イスラエル、イタリア、インド、ドイツ、チリ、トルコ、UAE、米国の多様な業種を標的としています。少なくとも2021年から活動しており、当時イスラエルの2社に対して未知のバックドアを展開しました。2021年にはイスラエルの被害者にランサムウェアも投入しています。インターネット公開された Microsoft Exchange サーバーの既知かつ未修正の脆弱性を主な侵入経路とし、その後横展開と独自バックドアの展開を行います。
GALAXY GATO
C5、Smoke Sandstorm、TA455、UNC1549 の別名でも知られる、イラン政府の利益に沿ったサイバースパイグループです。少なくとも2022年から活動しており、中東(イスラエル、オマーン、サウジアラビアなど)や米国の航空宇宙、航空、防衛分野の組織を標的としています。Tortoiseshell や APT33 と手法の重なりがあり、いずれも IRGC-EWCD(イラン革命防衛隊の電子戦・サイバー防衛組織)との関係が指摘されています。代表的な手法は、タイポスクワッティングドメインを使ったスピアフィッシング、パスワードスプレー、独自バックドアの開発・展開です。
LYCEUM
HEXANE または Storm-0133 の別名でも知られる OilRig のサブグループで、少なくとも2017年から活動しています。中東の組織を標的とし、特にイスラエルの政府機関や医療関連組織への関心が高いとされています。さまざまなバックドアや、正規のクラウドサービスを C&C 通信に利用する複数のダウンローダーが主要ツールです。
MUDDYWATER
イラン情報省(MOIS)と関連するとされるサイバースパイグループで、少なくとも2017年から活動しています。中東と北米の被害者を狙い、特に通信、政府、石油・エネルギー分野に注力しています。PowerShell などのスクリプトベースのバックドアを頻繁に使い、添付ファイル付きスピアフィッシングメールを主な侵入手段としています。添付ファイルには PDF を用い、そのリンク先として Egnyte や OneHub などのファイルストレージサービスを悪用することがあります。
OILRIG
APT34 または Hazel Sandstorm(旧 EUROPIUM)の別名でも知られる、一般にイラン拠点と考えられているサイバースパイグループです。少なくとも2014年から活動しており、中東の政府機関や化学、エネルギー、金融、通信など多様な業界を標的としています。代表的な活動には、2018〜2019年の DNSpionage キャンペーン、2019〜2020年の HardPass キャンペーン、2020年の中東通信組織への攻撃、2023年の中東組織への攻撃などがあります。ESET は関連活動を Lyceum、ShroudedSnooper、BladedFeline などのサブグループとしても追跡しています。
SHROUDED SNOOPER
Scarred Manticore または Storm-0861 の別名でも知られる OilRig のサブグループで、少なくとも2019年から活動しています。2021〜2022年のアルバニア政府に対する破壊的攻撃で Microsoft が初めて特定しました。この際、このグループは公開アプリケーションを悪用してネットワークへの初期侵入を実現し、他の OilRig サブグループの足場を築いたとされています。2023年には、中東の政府機関、軍事組織、通信会社を標的にしています。
TORTOISESHELL
Crimson Sandstorm、Imperial Kitten、TA456、Yellow Liderc の別名でも知られるサイバースパイグループです。少なくとも2019年から活動しており、ソーシャルエンジニアリングとフィッシングメールで初期侵入を行い、Microsoft Office マクロや初期段階のインプラントを活用してシステムおよびネットワーク偵察を進めます。主な標的は、米国、欧州、中東の海運、物流分野です。
WILDPRESSURE
中東の石油、ガス、エンジニアリング分野を標的とするサイバースパイグループです。少なくとも2019年から活動しており、最初のバックドアがその年に確認されました。2021年には追加ツールの展開も確認されています。
DONOT TEAM
APT-C-35 または SectorE02 の別名でも知られる、インド寄りの脅威アクターです。少なくとも2016年から活動しています。2021年の Amnesty International の報告では、このグループのマルウェアが、スパイウェア販売または政府向けハッカー請負サービスを提供している可能性のあるインドのサイバーセキュリティ企業と関連付けられました。Windows と Android マルウェアを用いて南アジアの組織を標的とし、被害者の多くはパキスタン、バングラデシュ、スリランカ、ネパール、中国に所在しています。主目的はスパイ活動で、データ収集・持ち出しに特化した独自のマルウェアフレームワークを使用します。
BACKDOOR DIPLOMACY
ESET が APT15 のサブグループに付けた名称で、主にアフリカと中東の政府機関および通信会社を標的としています。少なくとも2017年から活動しています。2022年には Bitdefender が中東の通信業界への活動を文書化し、2023年には Unit 42 がイランの政府ネットワーク侵害を分析しました。ESET は 2021年に、このグループと Kaspersky が CloudComputating として追跡するグループとの関連を示しました。また、Mirage、Ke3chang、DigitalRecyclers など他の APT15 サブグループとの関連も確認しています。
BLACKWOOD
中国寄りのAPTグループで、中国および日本の個人・企業を標的としたサイバースパイ活動を行っています。少なくとも2018年から活動しており、2020年に ESET の研究者が中国国内システム上で不審ファイルを検知したことをきっかけに発見されました。Adversary-in-the-Middle 攻撃を実行できる能力を持ち、正規ソフトウェアの更新を介してインプラントを配布したり、トラフィックを傍受して C&C サーバーの所在を隠したりできます。
BRONZE SILHOUETTE
Volt Typhoon または Vanguard Panda の別名でも知られる、中国寄りのサイバースパイグループです。少なくとも2022年から活動しており、主に米国の防衛産業や重要組織を標的としています。2023年に、米国の太平洋西部領土で複数の軍事基地が所在するグアムの重要インフラへの攻撃が公表され、広く知られるようになりました。
CERANA KEEPER
中国寄りのサイバースパイグループで、少なくとも2022年初頭から活動しています。主に東南アジアの政府機関を標的としています。TONEINS、TONESHELL、PUBLOAD といった既知コンポーネントの使用、公開ツールの活用、クラウドやファイル共有サービスを使った持ち出し手法で知られています。一部活動は Mustang Panda(Earth Preta / Stately Taurus)に帰属されてきましたが、ESET は別グループとして追跡しています。
CLOUDSORCERER
2024年に初めて公に報告された脅威アクターですが、ESET のテレメトリでは 2022年初頭から活動の痕跡が確認されています。ロシアの政府機関やテクノロジー分野、米国のシンクタンクを対象にサイバースパイ活動を行います。アーカイブ添付のスピアフィッシングメールが特徴で、trident side-loading 技術を使ってメインバックドアを展開し、その後 Yandex、OneDrive、Dropbox などのクラウドサービスを悪用してコマンドを受信します。
DIGITAL RECYCLERS
ESET が発見した脅威アクターで、少なくとも2018年から活動しています。欧州の政府機関に対して継続的にスパイ活動を行っています。低い確度ながら、Ke3chang および BackdoorDiplomacy と関連している可能性があると考えられています。
EVASIVE PANDA
BRONZE HIGHLAND、Daggerfly、StormBamboo の別名でも知られる、中国寄りのAPTグループです。少なくとも2012年から活動しており、チベット亡命コミュニティ、台湾や香港の宗教機関・学術機関、中国国内の民主化支持者など、中国の利益に反するとみなされる対象に対するサイバースパイ活動を行っています。ESET は、ベトナム、ミャンマー、韓国などへの攻撃も確認しています。サプライチェーン攻撃、ウォータリングホール攻撃、DNS ハイジャックなど多彩な手法を使い、Windows、macOS、Android 向けのマルチプラットフォーム型バックドアを開発・運用しています。
FAMOUSSPARROW
中国寄りのサイバースパイグループで、少なくとも2019年から活動しているとみられています。当初は世界各地のホテルを標的として知られていましたが、その後は政府機関、国際機関、業界団体、エンジニアリング企業、法律事務所も攻撃対象としています。SparrowDoor バックドアの既知の使用者はこのグループのみです。Earth Estries との関連が指摘されていますが、その正確な関係は不明です。また Salt Typhoon との関連も公表されていますが、技術的指標が不足しているため、ESET は別グループとして追跡しています。
FISHMONGER
Earth Lusca、TAG-22、Aquatic Panda、Red Dev 10 の別名でも知られるサイバースパイグループです。中国の請負業者 I-SOON により運用され、Winnti Group の傘下にあると考えられています。ESET は2020年初頭にこのグループを分析し、香港の市民運動の時期に現地大学を集中的に標的としていたことを明らかにしました。その後、アジア、欧州、米国の政府機関、NGO、シンクタンクを対象としたグローバルな攻撃活動も確認されています。ウォータリングホール攻撃の実行でも知られています。
FLAX TYPHOON
ETHEREAL PANDA の別名でも知られる、中国寄りのAPTグループです。少なくとも2021年から活動しており、主に台湾の組織を標的としています。China Chopper Webシェル、Juicy Potato 権限昇格ツールとその派生版、Mimikatz などを使用し、さらに LOLBins(正規バイナリの悪用)を広範に活用して検知を回避します。
FONTGOBIN
中国寄りのAPTグループです。ESET は、このグループが少なくとも2022年から C:\Windows\Fonts ディレクトリ内の偽フォントファイルをローダー用の隠しペイロードとして長期にわたり利用していたことから、この名称を付けました。主な標的はキルギス、ウズベキスタン、カザフスタン、パキスタンの政府機関です。
FONTFUNKYGORILLAS
中国寄りのAPTグループで、東欧および中央アジアのさまざまな業種を標的としています。Zmm バックドアと Trochilus RAT を使用します。Zmm バックドアは、SixLittleMonkeys が使う Mikroceen RAT も開発している StartupNation グループによって開発されています。
GALLIUM
Soft Cell、Alloy Taurus、Red Moros、Othorene の別名でも知られる、中国寄りのAPTグループです。世界中の通信事業者と政府機関を標的とし、学術機関への攻撃でも知られています。独自の C++ バックドア、China Chopper ベースの IIS Webシェル、Mimikatz を基にした複数の認証情報窃取ツール、各種市販ツールを使用します。
GELSEMIUM
中国寄りのサイバースパイグループで、少なくとも2014年から活動しています。同年、G DATA は Operation TooHash に関するホワイトペーパーを公開し、キャンペーンで使用された文書から被害者が東アジアに所在するとみられることを示しました。攻撃者は Microsoft Office の当時すでに古くなっていた脆弱性を悪用する添付ファイル付きスピアフィッシングを行い、さらに3つのコンポーネントを使用していました。そのうち2つは盗難証明書で署名されていました。2016年には Verint Systems が HITCON で、同じ TooHash 活動の継続事例について発表しています。
GOPHERWHISPER
少なくとも2023年から活動している中国寄りのサイバースパイグループです。バックドア開発に重点を置いており、Discord、Slack、file.io などの正規サービスを C&C 通信やデータ持ち出しに利用します。2025年時点で、ESET のテレメトリではモンゴルの政府機関を標的としていることが確認されています。
GREF
中国寄りのサイバースパイグループで、少なくとも2009年から活動しています。コード内に Google 関連の参照が多いことからこの名称が付けられました。ドライブバイ攻撃の活用で知られ、Windows、OS X、Android 向けのマルウェアを保有しています。2014年には、OS X バックドアを使って世界中の電子機器・エンジニアリング企業、およびアジアに関心を持つ NGO を標的にしていたことが初めて報告されました。2020年には Lookout が、ウイグル人、チベット人、世界中のイスラム系コミュニティを標的とした4つの Android バックドアを発見し、本グループに帰属させました。APT15 との関連を主張する情報源もありますが、ESET は十分な証拠を確認できていません。
KE3CHANG
Ke3chang(発音:ケ・トリ・チャン) は、ESET が APT15 のサブグループに対して使用している名称です。主に欧州および中南米の政府機関と外交機関を標的としています。この名称は 2013年の Mandiant による Operation Ke3chang レポートに由来し、2016年から2021年にかけて各組織が報告した一連の APT15 関連活動に対しても使用しています。単純で機能の限定された第一段階バックドアのみを展開し、その後は組み込みツールや公開ツールを用いて人手で偵察や追加操作を行う点が特徴です。
KMA-VPN
SuperJumper の別名でも知られる、世界中の VPS 上で動作する ORB(Operational Relay Box)ネットワークです。少なくとも2023年から活動しています。DigitalRecyclers や BackdoorDiplomacy など複数の中国寄り脅威アクターが、この秘匿ネットワークを利用して通信元を匿名化し、真の発信源を隠しています。
LONGNOSEDGOBLIN
2024年に ESET が発見した中国寄りのAPTグループです。マレーシアの政府機関を標的とし、サイバースパイ活動を行っています。独自マルウェアを展開して被害者のブラウザ履歴を収集し、その情報をもとに Microsoft OneDrive を利用するバックドアをどこに展開するかを判断します。さらに、Active Directory のグループポリシーを悪用してマルウェアを配布し、横展開も行います。ファイルパスや SoftEther VPN の利用において ToddyCat と一部重なる点がありますが、全体のツールセットは異なります。
LOTUS BLOSSOM
Lotus Panda、Billbug の別名でも知られる中国寄りのAPTグループです。東南アジアの政府機関や海事関連組織を標的としており、2015年に初めて明らかになりました。Elsentric バックドアのほか、Impacket や Venom プロキシなどの追加ツールを使用します。
LUCKYMOUSE
APT27 または Emissary Panda の別名でも知られるサイバースパイグループです。主に政府機関、通信会社、国際機関を狙っており、中央アジア、中東、モンゴル、香港、北米で活動しています。バックドアを読み込む際に DLL サイドローディングを使うことが特徴的な手法のひとつです。
MIRRORFACE
Earth Kasha の別名でも知られ、少なくとも2019年から活動しています。日本の企業・組織、または日本と関係を持つ海外組織を主に標的とする中国寄りの脅威アクターです。ESET は APT10 のサブグループと見なしています。メディア、防衛関連企業、シンクタンク、外交機関、金融機関、教育機関、製造業などが標的で、主目的はスパイ活動と関心のあるファイルの窃取です。
MUSTANG PANDA
TA416、RedDelta、PKPLUG、Earth Preta、Stately Taurus の別名でも知られるサイバースパイグループで、中国に拠点を置くと考えられています。主に政府機関と NGO を標的としています。2020年のバチカンを狙った活動で広く知られていますが、被害者の多くは東アジア・東南アジアに所在し、とくにモンゴルへの関心が高いとみられます。共有型マルウェアを読み込むための独自ローダーを頻繁に使用します。
PERPLEXED GOBLIN
APT31 の別名でも知られる、中国寄りのサイバースパイグループです。主に欧州の政府機関を標的としています。独自インプラントを使い、DLL サイドローディングや BYOVS(脆弱な正規ソフトウェア持ち込み)チェーンなど複数の方法で展開可能です。より広範な独自ツール群を持っていると考えられますが、その一部はまだ実運用では確認されていません。
PLUSHDAEMON
中国寄りの脅威アクターで、少なくとも2018年から活動しています。中国、台湾、香港、韓国、米国、ニュージーランドの個人および組織に対するスパイ活動を行っています。独自バックドアを用い、攻撃者制御サーバーへトラフィックをリダイレクトするネットワークインプラントにより、正規更新を乗っ取ることが主な初期侵入手法です。加えて、Webサーバーの脆弱性悪用や、2023年のサプライチェーン攻撃も確認されています。
RED FOXTROT
少なくとも2014年から活動するAPTグループです。中央アジア、インド、パキスタンの政府、防衛、通信分野を標的としています。中国人民解放軍(PLA)Unit 69010 の一部とみられており、ShadowPad バックドアを利用できるグループの一つです。
SINISTEREYE
中国寄りのAPTグループで、少なくとも2008年から活動しています。中国国内で、国内外の個人、企業、教育機関、政府組織に対するサイバースパイおよび監視活動を行っています。このグループの活動は LuoYu APT(CASCADE PANDA)に帰属される一連の活動の一部とみられています。中国のインターネット基幹網へのアクセスを利用した adversary-in-the-middle 攻撃でソフトウェア更新を乗っ取り、Windows と Android 向けインプラントを配布します。
SNEAKY DRAGON
東アジアおよび東南アジアの組織を標的とするAPTグループです。少なくとも2020年から活動しており、ESET は中国拠点とみています。特徴的なツールは、秘匿性の高い遠隔アクセスを重視して設計されたモジュール型マルウェアです。
SPARKLING GOBLIN
TTP の一部が APT41(BARIUM) と重なるAPTグループです。主に東アジア・東南アジアで活動していますが、世界各地のさまざまな業界の組織も標的にしており、特に学術分野への関心が強いとみられます。ShadowPad バックドアへアクセス可能なグループのひとつでもあります。
SPECCOM
IndigoZebra または SMAC の別名でも知られ、少なくとも2013年から活動しています。報告によれば、中国寄りのAPTグループで、アフガニスタン、ウズベキスタン、キルギスなど中央アジアの政治組織への攻撃に関与しています。ESET は赤道ギニア、ロシア、タジキスタン、イスラエルに対する攻撃も確認しています。
STARTUP NATION
複数の中国寄りAPTグループ向けにマルウェアの開発・保守を行うグループです。少なくとも2016年から活動しています。ESET は、SixLittleMonkeys、FourFunkyGorillas、Webworm、Worok、TA428、TA410 などにソフトウェアを提供していると考えています。HDMan ツールセット、Mikroceen RAT(BYEBY)、Zmm バックドア、BeRAT バックドアなどを開発しています。
STEPPE DRIVER
中国・内モンゴル自治区から活動する中国寄りスパイグループです。ESET は2024年、フランスの自動車ディーラーを標的とした攻撃を調査する中でこのグループを発見しました。モンゴルの政府機関や南米の法律事務所も標的としています。多様なツールを使用し、その多くは他の中国寄りグループと共有されています。また StartupNation の顧客でもあります。
TA410
A cyber espionage umbrella group known mostly for targeting US-based organizations in the utilities sector and diplomatic organizations in the Middle East and Africa. Active since at least 2018. First publicly revealed in 2019. It is composed of three subgroups ESET has named JollyFrog, LookingFrog, and FlowingFrog. In 2020, the newly discovered and very complex malware family FlowCloud was also attributed to TA410.
TA428
ThunderCats の別名でも知られるAPTグループで、少なくとも2014年から活動しています。東アジアの政府機関を標的とし、とくにモンゴルとロシアへの関心が高いとみられます。ESET は中国・北京を拠点としていると考えています。独自バックドアと共有ツールを使用し、ShadowPad バックドアを利用できるグループの一つです。
THE WIZARDS
中国寄りのAPTグループで、少なくとも2021年から活動しています。フィリピン、アラブ首長国連邦、中国における個人、ギャンブル関連企業、その他組織を対象にサイバースパイ活動を行っています。ESET は、中国で広く利用されている Sogou Pinyin から悪意ある更新がダウンロードされたことをきっかけにこのグループを発見しました。adversary-in-the-middle 攻撃によりトラフィックをリダイレクトし、更新経由で独自マルウェアを配布できます。
TICK
BRONZE BUTLER または REDBALDKNIGHT の別名でも知られ、少なくとも2006年から活動していると考えられています。主に APAC 地域の国々を標的とし、機密情報や知的財産の窃取を目的としたサイバースパイ活動で知られています。
TRAPPED GOBLIN
中国寄りのグループで、ESET が GrapHook と名付けた独自のモジュール型マルウェアを使用します。
UNSOLICITED BOOKER
少なくとも2023年から活動している中国寄りの脅威アクターです。中東を対象にサイバースパイ活動を行っています。Space Pirates や Zardoor バックドアを使用する別アクターと重なりがあり、さまざまなインプラントへアクセス可能です。また StartupNation の顧客でもあります。
WEBSIIC(ToddyCat)
ToddyCat の別名でも知られます。ESET の研究者が2021年、Microsoft Exchange サーバーに対する ProxyLogon 脆弱性悪用攻撃の調査中に発見しました。その経緯から、中国寄りAPTグループである可能性が高いとみられています。Kaspersky によれば少なくとも2020年から活動しており、ネパール、ベトナム、日本、バングラデシュ、ウクライナの組織が過去の標的です。独自マルウェアと公開ハッキングツールを組み合わせて攻撃を行います。
WEBWORM
2022年に Symantec により初めて報告されたサイバースパイグループです。SixMonkeys や FishMonger など他の中国寄りAPTグループとの関連が指摘されています。よく知られたマルウェアファミリーを利用し、StartupNation の顧客でもあります。
WINNTI GROUP
少なくとも2012年から活動しています。中国・四川省成都市を拠点としていることが知られており、ゲーム業界やソフトウェア業界への著名なサプライチェーン攻撃に関与してきました。その結果、複数のトロイ化ソフトウェアが配布され、さらに多くの被害者が侵害されました。医療や教育など多様な分野の標的侵害でも知られています。
WOROK
中国寄りのサイバースパイグループで、少なくとも2020年から活動しています。ESET は北京を拠点としていると考えています。主な標的はモンゴルですが、キルギス、ベトナム、トルコ、インドネシア、ナミビアの組織も狙っています。政府機関や公共部門組織、民間企業を標的とし、独自ツールと公開ツールを併用します。とくに TA428 など他の中国寄りグループと追加ツールや特徴を共有しています。ShadowPad バックドアを利用できるほか、StartupNation の顧客でもあります。
STURGEONPHISHER
YoroTrooper の別名でも知られるサイバースパイグループで、少なくとも2021年から活動しています。スピアフィッシングと Webメール認証情報窃取を主な手法とし、カスピ海沿岸諸国の政府関係者、シンクタンク、国営企業従業員を標的としています。特にロシアが最も多く狙われています。標的範囲が限定的であることから中央アジアの国を拠点としている可能性が高く、被害傾向や技術的指標から、低い確度ながらカザフスタンの利益に沿う活動をしていると ESET は評価しています。
脅威を把握し、一歩先へ
ESET脅威レポート 2025年下半期
ESET のテレメトリをもとに、世界の脅威動向、地域別APT活動、マルウェアの進化を詳しく解説します。
APT活動サマリー
世界で進行中のAPT攻撃キャンペーンの最新動向を紹介します。
WeLiveSecurity:注目の調査・記事
最新のサイバー脅威や発見、セキュリティ動向について、ESET研究者による分析と解説を紹介します。
ESET Research Podcast:世界の脅威動向を読み解く
研究者が攻撃の帰属分析やツール、世界的な脅威動向の変化について解説します。
ソリューション概要
ソリューションの詳細な説明と主な機能を紹介します。