Packet Pilot X (Twitter)
2026-06-02

パキスタン関連のSideCopyがアフガニスタン財務省をXeno RATで標的に

パキスタンに関連するサイバー攻撃グループSideCopyが、アフガニスタンの財務省を標的にしたスピアフィッシングキャンペーンを展開しました。この攻撃では、オープンソースのリモートアクセス型トロイの木馬であるXeno RATが使用され、パシュトー語のファイル名を持つ悪意のあるLNKファイルがZIPアーカイブとして配布されました。SideCopyは、透明な部族(Transparent Tribe)という広範なグループの一部であり、過去にもインドのさまざまなセクターを攻撃してきました。今回のキャンペーンは、南アジアのエンティティに対する悪意のあるサイバー活動の一環と見なされています。

メトリクス

このニュースのスケール度合い

7.0 /10

インパクト

7.5 /10

予想外またはユニーク度

6.5 /10

脅威に備える準備が必要な期間が時間的にどれだけ近いか

8.0 /10

このニュースで行動が起きる/起こすべき度合い

6.5 /10

主なポイント

  • SideCopyグループがアフガニスタン財務省を標的にしたスピアフィッシング攻撃を実施しました。
  • Xeno RATは、リモートサーバーと接続し、さまざまな悪意のある操作を実行する能力を持っています。

社会的影響

  • ! この攻撃は、アフガニスタンの政府機関に対する信頼を損なう可能性があります。
  • ! サイバー攻撃の増加は、地域の安定性に対する脅威となるでしょう。

編集長の意見

サイバーセキュリティの専門家として、今回のSideCopyによる攻撃は、南アジア地域におけるサイバー脅威の深刻さを示しています。特に、アフガニスタンのような政治的に不安定な国においては、サイバー攻撃が国家の安全保障に直接的な影響を及ぼす可能性があります。Xeno RATのような高度なマルウェアは、政府機関の機密情報を狙うために設計されており、攻撃者はターゲットの文化や言語に精通していることが多いです。これにより、攻撃の成功率が高まります。今後、政府機関はサイバーセキュリティ対策を強化し、特にスピアフィッシング攻撃に対する教育を徹底する必要があります。また、国際的な協力を通じて、サイバー脅威に対する情報共有を促進することも重要です。サイバー攻撃は国境を越えて行われるため、各国が連携して対策を講じることが求められます。さらに、企業や個人も、最新のセキュリティ対策を導入し、フィッシング攻撃に対する警戒を怠らないようにすることが重要です。

解説

パキスタン関連SideCopyがアフガニスタン財務省を狙撃——Pashto偽装LNKとオープンソースXeno RATで行政の中枢に迫る

今日の深掘りポイント

  • スピアフィッシングの“定番回避策”へシフト:ZIP内にLNKを封入し、言語ローカライズ(パシュトー語名)でクリック率を上げる手口です。マクロ対策や実行形式ブロックを回避する古典かつ実効的なアプローチです。
  • 「安く・速く・十分効く」オープンソースRATの現実:Xeno RATの採用は、調達コスト低下とアトリビューション攪乱を同時に実現します。プラグイン式(外部DLL読込)で事後の拡張も容易です。
  • 標的は“歳入と援助のパイプ”:財務当局侵害は歳入管理・予算編成・対外援助の資金フローを揺らし、周辺国・援助機関への二次感染・サプライチェーン侵入も誘発します。
  • いま必要なのは「言語×形式×動作」の三点直視:ローカル言語の訓練強化、ZIP内ショートカットの検査強化、LNK→cmd/PowerShell→ネット到達までのプロセス連鎖検知が即効施策です。
  • 目新しさは中程度でも緊急性は高め:戦術は古典的で再現性が高く、成功確率が高いぶん、早期のIOC共有とアウトバウンド制御の見直しが効果を発揮します。

はじめに

パキスタン関与とされるSideCopyが、アフガニスタン財務省に対してパシュトー語名のLNKショートカットをZIPで送付し、オープンソースのXeno RATを展開したと報じられています。地政学的緊張が続く南アジアにおいて、行政の資金パイプや関係機関連携に直結する財務当局の侵害は、短期の情報流出にとどまらず、中期的な政策遂行能力と援助実務の不安定化を引き起こしやすいです。
本件は、戦術の“新規性”よりも“効率性と地域適応”が勝る典型例で、緊急性・実行可能性・確からしさが相対的に高いバランスにあります。CISOやSOC、Threat Intel担当は、形式(ZIP/LNK)・言語(パシュトー)・挙動(外部DLL式RAT)の三点に焦点を当て、検出・教育・出口統制を一段引き上げるべき局面です。

参考情報: The Hacker News: Pakistan-Linked SideCopy Targets Afghanistan’s Ministry of Finance with Xeno RAT (2026-06-02)

深掘り詳細

事実整理(確認できるポイント)

  • 攻撃主体はパキスタン関連のSideCopyで、南アジアを継続的に狙ってきた透明な部族(Transparent Tribe)系統に位置づけられると報じられています。
  • アフガニスタン財務省職員を狙うスピアフィッシングで、パシュトー語のファイル名が付いた悪性LNKをZIP添付で配布したとされます。
  • 侵入後のペイロードにオープンソースRATのXeno RATを採用。TCPでC2に接続し、外部DLLモジュールの読み込みにより機能拡張可能です。ファイル操作、キーロギング、スクリーンショット、クリップボード監視などの機能が想定されます。
  • 行政機関、とりわけ財務当局を狙った作戦として、地域の安定と経済運営に対する影響が懸念されます。
    (以上は上記参考情報の報道に基づく整理です。)

インサイト(なぜいま、どこが“効いて”いるか)

  • LNK in ZIPは「現実解」になっている可能性が高いです。多くの組織がマクロ無効化・実行形式ブロックを整備する一方、ショートカット(.lnk)検査は後手に回りがちです。さらにZIP封入でサンドボックスやゲートウェイの一次判定をすり抜ける比率が上がります。
  • ローカル言語の社会工学は、機械翻訳臭の強いフィッシングよりも明らかに踏ませやすいです。特に公的文書の体裁を模したローカル言語の件名・本文・ファイル名は、執務文脈に自然に溶け込みます。
  • Xeno RATという“入手容易・改変容易”なRATは、アトリビューションのノイズ源としても機能します。既知シグネチャが効きにくいビルド差異や、DLLモジュールの差し替えによる素早いTTP更新が可能です。
  • 標的を財務省に置くことの意味は大きいです。予算・歳入・債務・援助配分といったデータやコミュニケーションの把握は、意思決定の先読み、外交上の立ち回り、さらにはドナーや受益者の二次標的化につながります。日本の公的機関・援助実施機関・金融機関・請負ベンダーまで、横滑りの接点は小さくありません。

脅威シナリオと影響

以下は現時点の報道に基づく仮説で、MITRE ATT&CKに沿って整理します。個別のテクニックは想定であり、環境により異なる場合があります。

  • 偵察・準備
    • TTP想定: T1589(人物情報収集)、T1598(フィッシング向けコンテンツ準備)、T1588.001(能力獲得: マルウェア入手、Xeno RATの調達)
  • 初期侵入
    • T1566.001(スピアフィッシング添付ファイル): ZIPにLNKを封入
    • T1204.002(ユーザー実行: 悪性ファイル): 受信者がLNKを実行
  • 実行・ダウンロード
    • T1059.001(PowerShell)/ T1059(スクリプト): LNKからスクリプト実行の可能性
    • T1105(Ingress Tool Transfer): Xeno RATやモジュールの取得
    • T1027(難読化/圧縮): ZIP/難読化されたペイロード
  • 永続化・防御回避(想定)
    • T1547.009(ショートカット改変)やT1060系のスタートアップ持続化の可能性
    • T1036(偽装): 正規名・アイコンの偽装
  • C2・内部活動
    • T1095(非アプリ層プロトコル): TCPベースのC2
    • T1041(C2チャネル経由の流出)
    • 機能面: T1113(スクリーンショット)、T1056.001(キーロギング)、T1005(ローカルデータ取得)
  • 目的達成(影響の仮説)
    • 財務データ・通信の収集、関係者アドレス帳や会議予定の窃取
    • ドナー・実施機関・委託先への横展開フィッシング(サプライチェーン侵入)
    • 政策文書の早期入手による交渉面での優位確保やディスラプション

影響面では、短期的にはアカウント侵害と機密文書流出、内部ネットワーク上の権限昇格・横展開が主リスクです。中期的には、予算編成・歳入執行・援助事務の遅延や不信の増幅が現実味を帯びます。援助国・国際機関・民間請負先に“飛び火”すれば、規模の割に連鎖コストが大きいのがこのタイプの作戦のいやらしいところです。

セキュリティ担当者のアクション

優先度の高い具体策を、運用現場で即実装できる粒度で整理します。

  1. ゲートウェイとコンテンツ検査の現実対応
  • ZIP内のLNKを明示的に検査・隔離対象にする(拡張子ベースではなくMIME/マジックナンバー判定を優先)です。
  • パスワード付きZIPの扱いポリシーを見直し、別送パスワードの自動解凍検査フローを導入します。
  • メール本文・添付の言語判定と、組織の業務言語との乖離スコアをスパム判定に加点するルール化を検討します。
  1. EDR/ログ分析の連鎖検知(LNK→スクリプト→ネット到達)
  • 典型的な悪性連鎖をハンティングルール化します。例:
    • explorer.exe → cmd.exe /c → powershell.exe(-enc, -nop, iex, Invoke-WebRequest/Start-BitsTransfer等)です。
    • rundll32.exe/regsvr32.exeによる外部DLL読込やスクリプト実行の連鎖です。
  • Sysmon等での監視強化(例: Event ID 1 プロセス作成、ID 11 ファイル作成、ID 3 ネットワーク接続)し、未知宛先への長寿命TCPセッションをトリアージ優先度高に扱います。
  1. アウトバウンド制御の見直し
  • 既定拒否の外向きポリシー(プロキシ/ファイアウォール)で、不要な直接TCP通信を抑制します。
  • 新規ドメイン、ダイナミックDNS、ASN変動の激しい事業者への通信を高リスク扱いにします。
  • TLS/HTTP以外のC2を念頭に、プロトコル異常やポート逸脱をアラート閾値低めに設定します。
  1. Xeno RAT系のアーティファクト監視
  • DLLモジュールの動的読込(LoadLibrary/Regsvr32経由含む)や、ユーザープロファイル配下に生成される不審DLL/EXE/ショートカットを重点点検します。
  • RAT特有の挙動(周期的ビコン、キーログ/スクリーン撮影の短周期I/O、クリップボードAPI連続呼び出し)をUEBAで特徴量化します。
  1. ユーザー訓練の“ローカル化”
  • 現地言語・業務文脈・行政書式を模した模擬演習を年数回実施し、ZIP/LNKを題材にした“なぜ危ないか”の行動科学的フィードバックを行います。
  • 「拡張子を表示する」グループポリシーの徹底や、LNK/SCF/URLショートカットのダブルクリック禁止の端末制御を検討します。
  1. 公的機関・援助機関・受託先の三者連携
  • IOCと検出ルールの共有は、国境ではなく“事務フローの境界”をまたいで即時に行います。財務・援助・会計・調達の接点に横展開しやすいためです。
  • 重要業務(歳入・予算・支払・援助)のワークフローにおける「メール起点の承認」を減らし、ポータル直送・多要素化・メッセージ署名を標準化します。
  1. インシデント対応の初動テンプレート
  • クリック報告が上がった時点で、端末隔離・メモリ/ネットワークの揮発性データ取得・認証情報の強制ローテーション・メールボックスのスレッド狩り(同一送信者・同一件名・近縁ハッシュ)を即時に回します。
  • 行政・援助関連の連絡先へ疑わしいメール拡散の有無をクイックノーティスし、二次被害の芽を潰します。

最後に、今回の作戦は戦術的には古典ですが、地域言語の社会工学とオープンソースRATの組み合わせにより成功確率が底上げされています。緊急性は高く、既存コントロールの“盲点”を埋めるだけで被害確率は大きく下がります。形式(ZIP/LNK)・言語(パシュトーを含むローカル)・挙動(LNK→スクリプト→TCP C2)の三点直視で、今日から実装できる対策を積み上げていくべきタイミングです。

参考情報

背景情報

  • i Xeno RATは、リモートサーバーと通信し、コマンドを受け取るために設計されたマルウェアです。このマルウェアは、ファイル操作、キーストロークの記録、スクリーンショットの取得、クリップボードの監視など、さまざまな機能を持っています。
  • i SideCopyは、透明な部族(Transparent Tribe)というAPTグループの一部であり、過去にはインドの軍事インフラを標的にした攻撃も行っています。彼らは、特定のターゲットに対してカスタマイズされた攻撃手法を用いることで知られています。
Packet News 一覧へ戻る