中国関連UAT-9244が南米の通信基盤にTernDoor・PeerTime・BruteEntryで長期侵入する構図です

今日の深掘りポイント

• 三層並列の侵入運用が鍵です。WindowsのDLLサイドローディング（TernDoor）、LinuxのP2P型バックドア（PeerTime）、エッジ機器でのブルートフォース（BruteEntry）が役割分担し、可用性とステルス性を両立しています。
• 中心C2に依存しないP2Pの採用は、摘発・テイクダウン耐性を高め、長期居座りの前提を作ります。テレコムの運用ネットワークでは「止まらない」を逆手に取られている可能性が高いです。
• FamousSparrow関連クラスターとの近接性が指摘され、開発・オペレーションの再利用や協業が示唆されます。TTPの転用速度が速く、観測指標を一点に依存しない多層検知が不可欠です。
• 影響は機密性にとどまらず、監視・傍受、認証基盤の掌握、ルーティングや国際接続の信頼性低下といった「基盤の基盤」へのリスクに波及します。
• メトリクス全体からは、信頼性と差し迫った対応の必要性が高く、現場適用可能な具体施策も引き出せる類の事案と読みます。通信・大規模事業者は48時間内の狩り出しと境界装置の是正を優先すべきです。

はじめに

南米の通信事業者を狙った一連の侵害活動が、2024年以降、継続的に観測されています。Cisco TalosがUAT-9244として追跡するクラスターは、中国関連と見られ、Windows・Linux・ネットワークエッジを横断する三種のマルウェア（TernDoor／PeerTime／BruteEntry）を使い分けていました。特に注目すべきは、DLLサイドローディングで静かに埋め込むWindows側の足場、Linux側で中央C2に依存しないP2Pの指揮系統、そしてルータ等のエッジ機器を「踏み石」として認証突破を拡大する挙動の組み合わせです。
本件は、機微通信の監視・傍受の現実的リスクを高め、地政学的な影響力競争の文脈でも注目度が高い事案です。現場は「どこを見るか」を誤ると簡単に取り逃すタイプの脅威ですので、検知と是正の勘所を整理します。

深掘り詳細

事実関係（ソースベース）

• アクティビティ名と紐づけ
  • Cisco TalosがUAT-9244として追跡する活動で、中国関連クラスターとされています。FamousSparrowとの関連性が指摘されています。
• マルウェア群と役割
  • TernDoor（Windows）：DLLサイドローディングを悪用してバックドアを常駐させます。
  • PeerTime（Linux）：P2P型のバックドアで、Dockerの存在を確認してから実行に移る挙動が報告されています。複数アーキテクチャに対応して情報収集を行います。
  • BruteEntry（エッジ機器）：エッジデバイスにインストールされ、ブルートフォース攻撃を実行します。
• 標的と期間
  • 2024年以降、南米の重要な通信インフラが標的になっています。
• 出典
  • 以上はThe Hacker Newsの報道（元分析はCisco Talos）に基づきます。The Hacker Newsの記事を参照ください。

インサイト（編集部の視点）

• 三位一体の運用が意味するもの
  • Windows側のTernDoorは、正規署名バイナリに便乗するDLLサイドローディングでアラートを最小化し、運用系の端末やサーバにしぶとく居座る役回りです。LinuxのPeerTimeは、中央C2の観測・遮断に弱い従来型のC2パターンを避け、P2Pで柔軟な制御を可能にします。BruteEntryはエッジ機器の配置と可用性を逆用し、パスワード攻撃と横展開のハブとして機能します。三者が補完し合うことで、検知・阻止の一点突破では崩れにくい構造を作っているのが肝です。
• なぜ通信事業者か
  • 通信事業者は多様なOSとアーキテクチャが混在し、停止の代償が大きい領域です。P2Pによる指揮とエッジの踏み石化は、運用上の「止められない」「すぐには替えられない」特性を的確に突くアプローチです。ここに地政学的な情報優位性の獲得意図（仮説）が重なると、長期居座りと静的な情報収集が主要目的である蓋然性が高まります。
• メトリクスからの読み解き
  • 本件は信頼性・発生確度が高く、直近の対処優先度も高いと評価できます。一方で新規性は「既存テクニックの練度向上」としての性格が強く、未知手法への過度な恐れより、既知TTPの“つなぎ方”に対抗する運用（横断的ロギング、P2P挙動のネットワーク解析、エッジ機器の強制是正）に投資を振るのが実利的です。

脅威シナリオと影響

以下は公開情報を基礎にした仮説シナリオです。MITRE ATT&CKの観点も併記します。

• シナリオ1：監視・傍受基盤への不可視な足場化
  • 概要：Windows運用端末/サーバにTernDoorを常駐させ、正規プロセス配下のDLLサイドローディングで検知を回避。運用系から設定・監視データへアクセスし、ネットワークメタデータ（接続先、ルーティング変更、アラーム）を静的収集します。
  • ATT&CK（仮説）：
    • 実行/回避：Hijack Execution Flow: DLL Side-Loading（T1574.002）
    • 永続化：Windowsサービス/スケジュールタスク（T1543/T1053）
    • 資格情報：OS Credential Dumping（T1003）
    • 発見：Network Service Scanning/Remote System Discovery（T1046/T1018）
    • C2：Application Layer Protocol（T1071）
• シナリオ2：Linux基盤にP2Pの観測困難なC2を構築
  • 概要：データ処理や仮想化ノード上でPeerTimeがDocker有無を確認し、ワーカに合わせたバイナリを展開。P2Pでコマンド流通とファイル搬送を行い、中央C2遮断やDNSベース検知を回避します。
  • ATT&CK（仮説）：
    • 発見：Container/Resource Discovery（コンテナ環境の探索）
    • 永続化：Create/Modify System Process（systemd等、T1543）
    • C2：Proxy/Peer-to-Peer的経路や非標準ポートの活用（T1090/T1571）
    • ツール搬送：Ingress Tool Transfer（T1105）
• シナリオ3：エッジ機器を踏み石に認証突破の面展開
  • 概要：BruteEntryが外縁のルータ/ゲートウェイに入り、ブルートフォースで近傍の管理系へ試行。成功した認証情報で横展開し、監視を分断する“島”を増殖させます。
  • ATT&CK（仮説）：
    • 初期侵入/アクセス拡大：Brute Force（T1110）、Valid Accounts（T1078）
    • 横移動：Remote Services（SMB/SSH、T1021）、External Remote Services（T1133）
    • 防御回避：Impair Defenses（T1562）、Masquerading（T1036）
• 想定インパクト
  • 機密性：運用ログ、構成情報、顧客メタデータへのアクセスリスクが上がります。
  • 完全性：設定改ざんや一時的な経路操作の可能性が生じ、障害と偽装した攻撃の温床になり得ます。
  • 可用性：P2P制御により全停止は回避されつつ、局所的な資源逼迫（CPU/メモリ/帯域）を引き起こす恐れがあります。
  • 二次被害：踏み台化したエッジから域外の企業・政府ネットワークへ攻撃が波及し、帰属の難しさが上がります。

セキュリティ担当者のアクション

優先度順に「どこを見るか」を具体化します。

• 48時間以内（緊急）
  • Windows（TernDoor想定）
    • 正規署名バイナリの横に置かれた不審DLLの存在を棚卸し（パスの不整合、ハッシュ不一致、タイムスタンプの不自然さ）。
    • 新規/最近変更のWindowsサービス、スケジュールタスク、Runキーを差分監査。
    • 正規プロセスからの外向き通信で、宛先の多様性・SNI不一致・JA3指紋の変動をスコアリング。
  • Linux（PeerTime想定）
    • systemd/cronに追加された不審ユニット・エントリを横断検索。
    • 不特定多数のピアに対する長時間の疎通（ランダムポート、一定周期の小パケット）をNTAで抽出。
    • Docker/Containerdのソケットアクセス監査（非標準ユーザからのdockerd APIアクセス）。
  • ネットワーク/エッジ（BruteEntry想定）
    • 管理プレーンの到達性を棚卸し（WAN側の管理IF遮断、ACL/VRF確認、帯域制御）。
    • 失敗認証の時系列/ASN相関を可視化し、エッジ発の内向き試行を即時遮断。
    • デフォルト/弱い認証情報の即時ローテーション、AAA/RADIUS/TACACS+の強制化。
• 2週間以内（短期）
  • 監視の強化
    • P2P特徴量（ピア数の漸増、手動オペレーションを疑う深夜帯通信）を検知シグネチャ化。
    • DLLサイドローディングの挙動ベース検知（ImageLoadの親子関係異常、KnownDlls回避パターン）。
  • セグメンテーション再設計
    • 運用端末から管理プレーンへのジャンプホスト強制、OPA/ABACに基づく細粒度アクセス。
  • ハンティング・質問例
    • 直近90日で「正規プロセス名＋新規外向きFQDN」を示す観測は何件か。
    • Dockerソケットにアクセスするユーザの増減はあるか。
    • エッジ機器から内製CI/CDや監視基盤へのSSH試行は観測されていないか。
• 90日以内（中期）
  • エッジ機器の技術的負債解消（EoL交換計画、イメージの信頼性証明、Secure Boot/Trust Anchor有効化）。
  • P2P型C2のテスト用模擬トラフィックを流し、NDR/SIEMの検知率を定量化。
  • サプライヤ横断のインシデント演習（通信停止を伴わない封じ込め手順の確立）。

運用のヒント（観測ベース）

• P2PのC2は「中央IPの黒塗り」が効きにくいです。フロー特徴（間欠的・均一サイズ・対称性）、ピアの重複出現、TLSフィンガプリントの希少性で相関を取り、EDR/IDSとNDRを束ねるのが近道です。
• DLLサイドローディングは「バイナリ単体の信頼」から「バイナリ＋ロードされるDLLの組み合わせの信頼」へ検証粒度を上げることが王道です。
• エッジは「止められない」が前提です。手順上の凍結ではなく、プレーン分離、構成即時復旧（ゴールデンイメージ）、経路選択の冗長化で、封じ込め時のサービス影響を最小化します。

編集部コメント

• 本件は“未知のゼロデイ”というより、“既知TTPの職人芸的な組み合わせ”が怖い事例です。検知の一発必中を狙うより、OS横断・層横断の「ズレ」を拾う地道な可観測性づくりが、最短の防御線になります。緊急度・信頼性が高い類の出来事ですので、まずは48時間の集中ハンティングから着手するのが現実的です。

参考情報

• The Hacker News: China-Linked Hackers Use TernDoor, PeerTime, and BruteEntry Malware in Telecom Attacks（Cisco Talos分析の要約）: https://thehackernews.com/2026/03/china-linked-hackers-use-terndoor.html

注記

• 本稿のMITRE ATT&CKマッピングやシナリオは公開情報に基づく編集部の仮説です。具体的なIOCや戦術・手口・手法（TTP）の詳細は、元レポートの公開内容に依存します。最新の一次情報の確認と、自組織のテレメトリに即したチューニングをお願いします。