Packet Pilot X (Twitter)
2025-10-28

イタリア製スパイウェアDanteがChromeゼロデイ攻撃キャンペーンに関連

イタリア製のスパイウェアDanteが、Chromeのゼロデイ脆弱性CVE-2025-2783を利用した攻撃キャンペーンに関連していることが明らかになりました。この脆弱性は2025年3月に悪用され、Googleによって修正されました。Kasperskyの研究者は、Danteがロシアやベラルーシの組織や個人に対する攻撃に使用されていることを発見しました。攻撃は、偽の招待状を用いたOperation ForumTrollとして知られ、悪意のあるウェブサイトへのリンクを含んでいました。Danteは、Hacking Teamが開発した商業監視ソフトウェアであり、複雑な隠蔽技術を使用しており、セキュリティツールによる検出を回避する能力があります。

メトリクス

このニュースのスケール度合い

7.0 /10

インパクト

7.0 /10

予想外またはユニーク度

7.5 /10

脅威に備える準備が必要な期間が時間的にどれだけ近いか

7.0 /10

このニュースで行動が起きる/起こすべき度合い

8.0 /10

主なポイント

  • Danteは、Chromeのゼロデイ脆弱性を利用した攻撃に関連しており、特にロシアのメディアや政府機関を標的にしています。
  • Kasperskyの研究者は、DanteのコードがHacking TeamのRCSスパイウェアと類似していることを発見し、Memento Labsに帰属する可能性が高いとしています。

社会的影響

  • ! この攻撃は、特にロシアやベラルーシのメディアや政府機関に対する信頼を損なう可能性があります。
  • ! 商業スパイウェアの使用が広がることで、個人のプライバシーやデータセキュリティに対する脅威が増大しています。

編集長の意見

Danteスパイウェアの発見は、サイバーセキュリティの分野において重要な警鐘を鳴らしています。特に、商業スパイウェアが国家機関やメディアを標的にすることは、情報の自由やプライバシーに対する深刻な脅威を示しています。Danteは、Hacking Teamの技術を基にしている可能性が高く、過去の攻撃と類似した手法を用いていることから、攻撃者の技術的な進化を示唆しています。今後、こうしたスパイウェアの使用が増加することが予想され、特に国家間の情報戦争が激化する中で、企業や個人はより一層の警戒が必要です。セキュリティ対策としては、最新のパッチを適用し、疑わしいリンクやメールを開かないことが重要です。また、企業は従業員に対してサイバーセキュリティ教育を行い、攻撃のリスクを低減するための対策を講じるべきです。Danteのような高度なスパイウェアに対抗するためには、セキュリティ業界全体での協力が不可欠です。

解説

Chromeゼロデイ「CVE-2025-2783」を起点に商用スパイウェアDanteが展開—偽招待状誘導の作戦とMemento Labs系ツールの接点

今日の深掘りポイント

  • Chromeゼロデイ(CVE-2025-2783)が実運用下で悪用され、商用スパイウェア「Dante」配布の初期侵入に使われていた事実は、ブラウザ層でのゼロクリック/ワンクリック型監視ツール配備の常態化を示す重要なシグナルです。
  • 攻撃は偽の招待状によるリンク誘導(Operation ForumTroll)から始まり、Chrome exploitを介してローダ(LeetAgent)→Danteへ段階的に展開したとされます。標的はロシアやベラルーシの組織・個人です。
  • DanteはHacking Team由来の系譜を持つMemento Labsに紐づく可能性が高く、VMProtectやサンドボックス回避、ホスト固有キー結合、指示非受信時の自削除など高度な防御回避機能を備えます。
  • メトリクスの含意(score 70/100、novelty 7.5、immediacy 7.0、actionability 8.0、credibility 9.0、probability 8.0):高信頼・高確率の新規性ある脅威で、短期の対応優先度は高く、かつ実装可能な対策が多いインシデントです。運用面では48–72時間での全社適用パッチSLOと、過去期間(3月以降)の遡及ハンティングが要件化します。
  • 規制面では、国家・準国家の情報活動と商用スパイ産業の供給連鎖が交点を持つことが再確認され、調達・流通規制や輸出管理に関するガバナンスが企業・政府双方の課題として浮上します。

参考情報(一次情報に近い報道ソース):

  • Help Net Security: DanteとChromeゼロデイの関連、Kasperskyの分析言及(2025-10-28)[英語](https://www.helpnetsecurity.com/2025/10/28/dante-spyware-chrome-zero-day/)

はじめに

イタリア製の商用スパイウェア「Dante」が、2025年3月に野放し悪用されたChromeゼロデイ「CVE-2025-2783」と結びつけられ、偽の招待状でユーザを悪性サイトへ誘導するOperation ForumTrollの中核に据えられていたと報じられています。Kasperskyの調査によれば、標的はロシアやベラルーシのメディア・政府関係者などに広がり、商用スパイウェアの供給と国家レベルの情報活動の接合面が再び可視化された格好です。ゼロデイを足がかりにブラウザから直接ペイロード展開する手口はEDRをすり抜けやすく、検知・封じ込め戦術の再設計を迫る案件です。

本稿では、報じられている事実関係と、CISO/SOC/Threat Intelの現場で今すぐ意思決定に活かせる示唆を分けて整理し、MITRE ATT&CKに基づく脅威シナリオ仮説と優先アクションを提示します。

深掘り詳細

事実関係(報道・ベンダ分析に基づく)

  • CVE-2025-2783は2025年3月に実運用下で悪用され、Googleにより修正対応が行われたと報じられています。攻撃者はこの脆弱性を悪用し、Chromeのサンドボックス保護を回避してリモートコード実行を達成したとされています。
  • 攻撃キャンペーンは「Operation ForumTroll」として把握され、偽の招待状(メール等)に埋め込まれたリンクで悪性サイトへ誘導し、ブラウザ経由でエクスプロイトを発火させ、段階的にローダ(LeetAgent)からDante本体へ移行したとされます。
  • Kasperskyは、ロシアとベラルーシの個人・組織を標的とした観測、DanteがHacking TeamのRCS系技術と類似しMemento Labsに帰属する可能性、VMProtectによる難読化やサンドボックス/デバッガ検出、ホスト固有の鍵結合、C2からの指示非受信時の自削除などの特徴を挙げています。
  • KasperskyはLeetAgent/Dante検出のためのIoCを共有していると報じられています。

出典: Help Net Securityの報道(Kasperskyの分析を引用)(https://www.helpnetsecurity.com/2025/10/28/dante-spyware-chrome-zero-day/)

インサイト(運用・戦術面の示唆)

  • ブラウザ初期侵入の再強化: ゼロデイを介した「ブラウザ→ローダ→スパイウェア」の直列チェーンは、メールゲートウェイやプロキシ、EDRのイベントモデルに散在するため、どれか一つの防御の盲点を突かれると横断的に見落としやすいです。Chromeレンダラ由来の異常プロセス生成やネットワーク外向の相関検知ルールが鍵になります。
  • 攻撃の地理的偏りと供給連鎖: 標的がロシア/ベラルーシで観測されている点は、供給側(商用スパイベンダ)と需要側(国家・準国家)の関係性に地政学が強く影響することを再確認させます。第三国経由の代理購入や再販売など、調達・流通のサプライチェーンもリスク評価対象にすべきです。
  • 高度な防御回避の前提化: VMProtectやサンドボックス回避・環境検出、自削除などはフォレンジックを困難にします。したがって、事後のアーティファクト収集だけに依存せず、実行時テレメトリ(chrome.exe子プロセス生成、スクリプト・LOLBin呼び出し、短寿命プロセスのC2通信)を一次シグナルとして設計する必要があります。
  • レスポンスSLOの目安(メトリクスの解釈に基づく現場示唆):
    • score 70/100、immediacy 7.0、probability 8.0、credibility 9.0は「高い信頼度で差し迫ったリスクが現実化している」ことを示します。48–72時間以内の全社Chrome系更新完了、7日以内の遡及ハンティング完了、14日以内のChromeポリシー強化の恒久化、といったSLOを置く妥当性が高いです。
    • novelty 7.5は既存検知網の穴を突く新手口の可能性を示唆します。既存の「メール→添付」の検知より、リンク誘導+ブラウザ実行パスのチューニングを優先するのが合理的です。
    • actionability 8.0は、適用可能な具体策(パッチ、Chrome Enterpriseポリシー、EDR相関ルール、遡及ハント)が豊富であることを意味します。すぐに投資対効果のある運用改善が見込めます。
    • positivity 2.0は広報・経営報告の観点でネガティブ性が高いことを示します。役員レベルのブリーフィングで規制・コンプラ・外交リスクも含めたステークホルダーコミュニケーションの準備が要ります。

脅威シナリオと影響

以下はMITRE ATT&CKに沿った仮説ベースのシナリオです(公表情報の範囲外は仮説である旨に留意してください)。

  • 初期侵入
    • T1566.002 Spearphishing via Link: 偽の招待状メールで悪性URLへ誘導します。
    • T1189 Drive-by Compromise: ブラウザでの閲覧によりエクスプロイトが自動実行される可能性があります。
  • 実行/権限昇格/防御回避
    • T1203 Exploitation for Client Execution: CVE-2025-2783の悪用でレンダラ内コード実行を達成します。
    • T1068 Exploitation for Privilege Escalation(仮説): サンドボックス脱出や権限昇格が必要な場合に併用の可能性があります。
    • T1497 Virtualization/Sandbox Evasion: サンドボックス・VM・デバッガ検出により解析を回避します。
    • T1027 Obfuscated/Compressed Files and Information: VMProtect等でローダ/ペイロードを難読化します。
    • T1036 Masquerading(仮説): 正規プロセス/ファイル名偽装で滞在を隠蔽する可能性があります。
  • 永続化/ラテラルムーブメント
    • T1053 Scheduled Task/Job(仮説)またはT1547 Boot or Logon Autostart Execution(仮説): 継続的実行のための仕込みが推測されます。
    • Danteは指示未受信時の自削除機能を持つとされ、T1070 Indicator RemovalやT1562 Impair Defenses(仮説)に該当し得ます。
  • C2/収集/窃取
    • T1071.001 Web Protocols: Web経由でC2通信を行う可能性が高いです。
    • T1105 Ingress Tool Transfer: Dante本体やモジュールの段階的取得が想定されます。
    • T1005 Data from Local System / T1041 Exfiltration Over C2 Channel: システム内データの窃取とC2送出が想定されます。

影響評価(仮説を含む):

  • ジャーナリスト、政策担当、軍・政府関係者など高価値ターゲットの通信・連絡網・端末からの機密窃取(取材源、政策文書、暗号化前の平文データ)による戦略的な情報優位性獲得が狙いと推測します。
  • 企業側では政府関連プロジェクトや東欧・CIS市場に関与する法人に対し、取引情報・アカウント情報の窃取、二次侵入(VPN/IdPアカウント悪用)につながるリスクが現実的です。
  • フォレンジック困難化(自削除・仮想環境回避)により、事後の根絶コストと被害評価の不確実性が増大します。

セキュリティ担当者のアクション

短期(0–72時間)

  • パッチ適用の即時徹底
    • 全社のChrome/Chromium系(Edge/Brave等含む)を2025年3月以降の修正適用版へ強制更新します。高リスク端末(報道・渉外・経営層・開発者)は24–48時間以内の完了をSLO化します。
  • Chrome Enterpriseポリシーの強化
    • Safe Browsing “Enhanced protection”(policy: SafeBrowsingProtectionLevel=2)の強制、拡張機能Allowlist化・Blocklist強化、サイト分離(SitePerProcess)を適用します。
  • 侵害兆候の遡及ハンティング(3月以降)
    • chrome.exeからの不審な子プロセス生成(cmd.exe、powershell.exe、wscript.exe、regsvr32.exe、mshta.exeなど)を相関検知します。
    • 短寿命プロセスによる外向き通信(HTTP/HTTPS)をchrome.exe起点で探索し、DNS解決→即時通信→プロセス終了のパターンを抽出します。
    • エンドポイントのクラッシュログ(Windows Application Error ID 1000など)でchrome.dllレンダラ/サンドボックス関連クラッシュの群発を時系列分析し、メール誘導イベントと突き合わせます。
  • メール/プロキシでの誘導検知
    • 「招待」「フォーラム」「登録確認」等の語を含む短縮URL/外部送信ドメインのサージを検出し、リファラとUser-Agentでブラウザ実行パスを相関します。

中期(1–2週間)

  • ベンダIoCの取り込みとハンティング反復
    • Kasperskyが共有したとされるLeetAgent/DanteのIoCを入手し、EDR/SIEM/メールゲートウェイ/プロキシに適用します。ハッシュベースだけでなく、PEセクションエントロピー異常、VMProtectヒューリスティック、自己削除痕(消失直前のPrefetch/USNジャーナル)など振る舞い指標もルール化します。
  • 高リスクユーザへのブラウザ分離
    • ジャーナリスト・渉外・政官民対話担当などに対して、リモートブラウザ分離(RBI)の適用範囲を拡大します。少なくとも外部の未信頼ドメインはRBIを強制します。
  • 分業横断のインシデント演習
    • 「メール→リンク→ブラウザ→ローダ→C2」のチェーンを想定した机上演習を実施し、EDR/Proxy/DNS/メール/端末管理の各担当が同一タイムラインを共有できるようにします。

長期(1–3か月)

  • ブラウザ由来の攻撃可視化ダッシュボード常設
    • chrome.exe起点のプロセスツリー、TLS SNI分布、DoH/匿名化リレーの利用、拡張機能インベントリ異常などを常時可視化します。
  • サプライチェーン/規制リスクの統合管理
    • 商用スパイウェア産業の供給連鎖に関する社内規程整備(調達・委託・第三者リスク評価)と、輸出管理・制裁遵守のガバナンス強化を進めます。政府関係クライアントを持つ企業は特に優先します。
  • 攻撃面の構造的低減
    • ハード化されたエンドポイント設定(スクрипト実行制御、AMSIカバレッジ拡大、PowerShell Constrained Language Mode、アプリケーション制御)とゼロトラストWebアクセスの組み合わせで、ブラウザからOS境界を越える実行を困難化します。

リスクコミュニケーション

  • メトリクスに基づく経営説明
    • score 70・immediacy 7・probability 8・credibility 9から、経営判断としては「迅速・確実な対処が必要な高信頼リスク」であること、actionability 8により「短期でリスク低減が現実的」であることを説明します。ポジティビティが低い(2)ため、広報影響と規制対応の準備も併せて進めます。

参考情報

  • Help Net Security: Dante spyware tied to Chrome zero-day campaign(2025-10-28)(https://www.helpnetsecurity.com/2025/10/28/dante-spyware-chrome-zero-day/)

注記

  • 本稿の事実関係は上記公開情報に基づき、MITRE ATT&CKマッピングや一部の対処提案はオペレーションの一般的パターンから導いた仮説を含みます。今後、ベンダの詳細レポートやIoC更新に応じてハンティング・検知ルールの改訂を継続してください。

背景情報

  • i CVE-2025-2783は、Google Chromeのゼロデイ脆弱性であり、攻撃者はこの脆弱性を利用してリモートコード実行を行うことができました。この脆弱性は、Windows OSの特異な動作に起因する論理的な脆弱性を利用しており、Chromeのサンドボックス保護を回避することが可能でした。
  • i Danteは、イタリアのMemento Labsによって開発された商業スパイウェアであり、VMProtectを使用してコードを隠蔽し、サンドボックスやデバッガーを検出する能力を持っています。Danteは、感染したマシンごとに暗号化キーを結びつけ、指示を受け取らない場合には自己削除する機能を備えています。
Packet News 一覧へ戻る