UNC6384攻撃検知：中国関連グループが外交官を標的にし、Webトラフィックを乗っ取りPlugX亜種を拡散

中国支援のハッキング集団として追跡されている UNC6384 は、東南アジアの外交官や世界各地の組織を標的にしたサイバーエスピオナージ攻撃に関与していることが確認されています。本キャンペーンでは、ウェブトラフィックをハイジャックし、デジタル署名付きのダウンローダーを配布、その後高度なソーシャルエンジニアリングと回避技術を用いて PlugX バックドアの亜種を展開します。

UNC6384攻撃の検知

CrowdStrike の 2025 Global Threat Report によると、中国関連のサイバー作戦は加速しており、国家支援の活動は150%増加し、金融サービス、メディア、製造業、産業セクターに対する標的型攻撃は最大300%増加しています。UNC6384による直近のキャンペーンもこの傾向を反映しており、中国のハッキンググループの攻撃能力拡大と高度化を示しています。

SOC Prime Platform に登録することで、業界をリードするセキュリティ分析ソリューションに対応した60万件以上の検知ルールやクエリを活用できます。このプラットフォームは、AIネイティブの脅威インテリジェンス、自動化されたスレットハンティング、高度な検知エンジニアリング機能を提供し、UNC6384に関連するステルス攻撃から組織を保護します。Explore Detections ボタンをクリックすると、MITRE ATT&CK® フレームワークにマッピングされた Sigma 行動ルールや IOCs、AI生成ルールにアクセスでき、複数の SIEM、EDR、Data Lake プラットフォームで利用可能です。 

Explore Detections

UNC6384の戦術・ツールと類似性を持つ中国関連グループ Mustang Panda の TTPs に関するコンテンツをさらに参照するには、Threat Detection Marketplace で「Mustang Panda」タグを使用するか、「APT」タグを使用して国家支援型脅威の包括的な検知ルールにアクセスできます。

セキュリティエンジニアは Uncoder AI を活用し、Google Threat Intelligence Group レポートの脅威インテリジェンスを即座にカスタムハンティングクエリへ変換して IOC マッチングを加速できます。さらに Uncoder AI を利用することで、生の脅威レポートから検知アルゴリズムを生成、ATT&CK タグを予測、クエリコードをAIで最適化、複数の言語フォーマットへ変換、最新のUNC6384活動をカバーする Attack Flow を可視化できます。 

UNC6384攻撃の分析

2025年初春、Google Threat Intelligence Group (GTIG) は、中国関連の脅威アクター UNC6384 による高度な攻撃を明らかにしました。主な標的は東南アジアの外交官や世界各地の組織です。UNC6384 は、Mustang Panda（別名 BASIN, Bronze President, Camaro Dragon, Earth Preta, Red Lich, Temp.Hex, TA416, RedDelta）と TTPs が重複しています。本作戦では captive portal リダイレクトを悪用してトラフィックをハイジャックし、STATICPLUGIN を配布、その後 PlugX（別名 Korplug）の亜種である SOGU.SEC バックドアをメモリ内で展開しました。 

少なくとも2008年以来活動している PlugX マルウェアは、中国の脅威グループによって広く利用されており、Mustang Panda も含まれます。例えば2022年、Mustang Panda はヨーロッパ、中東、南米の政府機関に対するキャンペーンで PlugX を利用しました。UNC6384とMustang Pandaはいずれも、東南アジアの公共部門を標的とし、DLLサイドローディングされたランチャーを介して SOGU.SEC を展開し、共通のC2インフラを使用していることが確認されています。

本キャンペーンの攻撃フローは、被害者のブラウザが captive portal hijack を実行し、Adobe プラグイン更新に偽装したマルウェアを配布するところから始まります。これは Chrome のハードコードされた captive portal チェック (www.gstatic[.]com/generate_204) を悪用するものです。その後、攻撃者は Adversary-in-the-Middle (AitM) リダイレクトを行い、被害者を正規に見える更新ページへ誘導し、有効な TLS 証明書で保護します。ここから第1段階のマルウェア STATICPLUGIN が配布され、続いて同じサイトから MSI パッケージを取得。この MSI によって CANONSTAGER の DLL サイドローディングが行われ、最終的に SOGU.SEC バックドアがメモリ内で展開されます。2023年以来、署名済みサンプルが20以上確認されており、UNC6384の高度化を示しています。 

UNC6384攻撃の緩和策として、ベンダーは最新のアップデートを適用し、この悪意ある活動やその他の中国支援型脅威に対抗するための防御を導入することを推奨しています。推奨されるステップには、Chrome で Enhanced Safe Browsing を有効化すること、すべてのデバイスを完全にパッチ適用すること、アカウントで 2 段階認証を有効にすることが含まれます。 

中国のハッキンググループが検知回避のためにますますステルス戦術を採用している中、組織には攻撃の初期段階で脅威を特定し、全体的なサイバーセキュリティ態勢を守るためにプロアクティブな防御を強化することが求められています。SOC Prime の完全な製品スイートを活用することで、AI と自動化、AIネイティブの脅威インテリジェンス、ゼロトラスト セキュリティの実践に基づき、あらゆるレベルの高度なサイバー脅威に対抗できます。