パキスタン関連のSideCopyがアフガニスタン財務省をXeno RATで標的に
パキスタンに関連するサイバー攻撃グループSideCopyが、アフガニスタンの財務省を標的にしたスピアフィッシングキャンペーンを展開しました。この攻撃では、オープンソースのリモートアクセス型トロイの木馬であるXeno RATが使用され、パシュトー語のファイル名を持つ悪意のあるLNKファイルがZIPアーカイブとして配布されました。SideCopyは、透明な部族(Transparent Tribe)という広範なグループの一部であり、過去にもインドのさまざまなセクターを攻撃してきました。今回のキャンペーンは、南アジアのエンティティに対する悪意のあるサイバー活動の一環と見なされています。
メトリクス
このニュースのスケール度合い
インパクト
予想外またはユニーク度
脅威に備える準備が必要な期間が時間的にどれだけ近いか
このニュースで行動が起きる/起こすべき度合い
主なポイント
- ✓ SideCopyグループがアフガニスタン財務省を標的にしたスピアフィッシング攻撃を実施しました。
- ✓ Xeno RATは、リモートサーバーと接続し、さまざまな悪意のある操作を実行する能力を持っています。
社会的影響
- ! この攻撃は、アフガニスタンの政府機関に対する信頼を損なう可能性があります。
- ! サイバー攻撃の増加は、地域の安定性に対する脅威となるでしょう。
編集長の意見
解説
SideCopyがアフガニスタン財務省にXeno RATで侵入を試行──OSS RAT運用と“ローカライズ型”LNKが示す国家系の現在地です
今日の深掘りポイント
- 国家系とされるSideCopyがオープンソースRAT(Xeno RAT)を敢えて選ぶ合理性は、秘匿性よりも「即応性・運用コスト・否認可能性」を重視する現実を映している可能性が高いです。
- パシュトー語ファイル名のLNKをZIPで包むという“二重の社会工学+検知回避”は、ヒトの判断とゲートウェイの自動検査の両方をすり抜ける設計です。
- 財務省侵害の連鎖リスクは、歳入・予算執行・対外援助の信用低下という「国のキャッシュフロー」を直撃し、周辺国・援助機関・請負企業まで波及しかねないです。
- 新規性は限定的ながら、侵入成立後の影響は重い──いま必要なのは、LNK in ZIPの強化検査、PowerShell/rundll32の運用制御、Xeno RAT系の狩り直し(リトロハント)です。
- 日本組織にとっては「遠い国の話」に見えますが、在外公館、援助・受託案件、国際機関経由の横伝播を現実のシナリオとして織り込むべき局面です。
はじめに
南アジアで長らく活動が観測されてきたSideCopyが、アフガニスタン財務省を狙ったスピアフィッシングを展開し、オープンソースのXeno RATを投下したと報じられています。ZIPで配布されたパシュトー語名のLNKという、極めて“現地化”された誘導が使われた点が目を引きます。速報性が高い一方、新規度は抑えめで、しかし現場の対策は待ったなし──そんなバランスの案件です。以下、一次情報が限られる初報段階での事実と論点を切り分け、CISO・SOCマネージャー・TIアナリストが今日すぐ動ける示唆に落とし込みます。
参考情報(報道)
- The Hacker News: Pakistan-Linked SideCopy Targets Afghanistan’s Ministry of Finance with Xeno RAT(2026-06-02)https://thehackernews.com/2026/06/pakistan-linked-sidecopy-targets.html
本件は現時点で上記の二次報道に依拠しており、当該キャンペーンのベンダー一次分析(完全なIOCやサンプルハッシュ、C2リスト)は未確認です。以下の技術的シナリオは過去のSideCopy/Transparent Tribeの傾向と、Xeno RATの一般的な機能に基づく仮説を含むことを明記します。
深掘り詳細
事実関係(初報から読めること)
- 標的はアフガニスタン財務省で、手口はスピアフィッシングです。LNKショートカットをZIPに収め、受信者の母語(パシュトー語)で命名したと報じられていますです。
- 投下ペイロードはオープンソースのXeno RATで、TCPでC2に接続し、外部のDLLモジュール読み込みに対応する設計と伝えられていますです。
- 攻撃主体はパキスタン系とされるSideCopyで、より広い系譜としてはTransparent Tribeに連なるグループと位置づけられています。過去にはインドの官公庁・防衛関連・教育など複数セクターが狙われてきたと整理されていますです。
- 現時点で公開IOCや検体の詳細は限定的で、通信先や持続化の具体像は不明です(本稿執筆時点の確認ベース)です。
出典: The Hacker News二次報道(前掲)
インサイト(なぜ今これが重要か)
- 国家系×OSS RATの組合せは、秘匿性の高いカスタムRATから「安価で速い」運用へシフトしたことを示唆します。OSSは既知シグネチャに掛かりやすい半面、ソース改変で多様化・短サイクル更新が容易で、検体ハッシュや静的YARAが陳腐化しやすいです。否認可能性(attributionの曖昧化)という副次効果も得られますです。
- LNK in ZIPは、メールゲートウェイの拡張子ポリシーやコンテント検査をすり抜けやすい定番手口です。受信者は圧縮ファイルを展開してLNKをダブルクリックするだけでスクリプトやDLLローダが実行され、EDR未導入端末やポリシー緩い現場では依然成功率が高いです。
- 財務省は国の資金流とデータの「分配ハブ」です。会計・予算執行・歳入(税関・徴税)・対外援助の調整・供給業者台帳など、多様な第三者への足掛かりを提供しうるため、侵入の二次効果が大きいです。特に援助機関や受託企業への再スピアフィッシング(コンテキスト価値の高い本文・添付再利用)が現実的です。
- 新規度は高くない一方で、緊急度と実行可能な対策は明確です。LNK/ZIPの取り扱い、PowerShell/rundll32の運用制御、過去半年〜1年のハントやPCAP再解析で一定の即効性が見込めますです。
脅威シナリオと影響
以下は、報道を基にした仮説シナリオをMITRE ATT&CKに沿って構成したものです。実際の手順・IOCは一次分析の公開により更新される前提です。
-
初期侵入(仮説)
- Spearphishing Attachment(T1566.001): パシュトー語名のLNKを含むZIPを送付です。
- User Execution: Malicious File(T1204.002): 受信者がLNKを開くことで発火です。
- Obfuscated/Compressed Files and Information(T1027): ZIP包装で検査回避です。
-
実行・ローディング(仮説)
- Command and Scripting Interpreter: PowerShell(T1059.001): LNK内コマンドでPowerShell起動・ステージャ取得です。
- Signed Binary Proxy Execution: Rundll32(T1218.011): DLLローダ経由でXeno RAT本体またはモジュール展開です。
-
常駐化・防御回避(仮説)
- Boot or Logon Autostart: Registry Run Keys/Startup Folder(T1547.001)またはScheduled Task(T1053.005)で持続化です。
- Masquerading(T1036): 正規風のファイル名・アイコンで隠蔽です。
-
内部偵察・収集(仮説)
- Discovery(各種): System/Process/Network Discovery(T1082/T1057/T1049)です。
- Credential from Web Browsers(T1555.003)、Keylogging(T1056.001)、Screen Capture(T1113)、Clipboard Data(T1115)などXeno RAT標準機能相当です。
-
指令・流出(仮説)
- Non-Application Layer Protocol(T1095)またはApplication Layer Protocol: Web(T1071.001): TCPでC2と双方向通信です。
- Exfiltration Over C2 Channel(T1041): 文書・資格情報・連絡先などの流出です。
-
影響波及(仮説)
- 省内の予算・契約・支払ワークフロー把握→詐欺メールや偽請求の精緻化(ビジネスメール詐欺の高度化)です。
- 連携官庁・援助機関・受託企業への二次スピアフィッシング(真正メールスレッドの乗っ取り)です。
- 政策文書・交渉材料の事前流出による外交・財政交渉力の毀損です。
MITRE ATT&CK参照
- Spearphishing Attachment(T1566.001): https://attack.mitre.org/techniques/T1566/001/
- User Execution: Malicious File(T1204.002): https://attack.mitre.org/techniques/T1204/002/
- Obfuscated/Compressed Files(T1027): https://attack.mitre.org/techniques/T1027/
- PowerShell(T1059.001): https://attack.mitre.org/techniques/T1059/001/
- Rundll32(T1218.011): https://attack.mitre.org/techniques/T1218/011/
- Registry Run Keys/Startup(T1547.001): https://attack.mitre.org/techniques/T1547/001/
- Scheduled Task(T1053.005): https://attack.mitre.org/techniques/T1053/005/
- Non-Application Layer Protocol(T1095): https://attack.mitre.org/techniques/T1095/
- Exfiltration Over C2(T1041): https://attack.mitre.org/techniques/T1041/
経営・運用へのインパクト
- 直接影響は南アジア中心ですが、「財務省=信頼の根源」への侵入は、対外援助や請負の支払いの遅延・偽装・差し替えといった信用不安に直結し、地域の治安・財政に波及し得ますです。
- 日本組織では、在外公館、JICA/JBIC案件、国際機関共催プロジェクト、援助関連の商社・SIer・金融機関に対する再スピアフィッシングの受け皿となるリスクを具体的に見積もるべきです。
セキュリティ担当者のアクション
初報段階でも、以下は“今日・今週”で動ける即効策です。新規性が限定的だからこそ、基本の徹底が効きます。
-
メール/ゲートウェイ
- ZIP内のLNKを高リスク扱いとし、展開後検査(解凍サンドボックス)を必須化します。ZIPに単一のLNKのみが入る場合は隔離・管理者承認フローにします。
- パスワード付きZIPの受信を原則遮断し、代替の安全な受け渡し手段を周知します。
- 南アジア言語(パシュトー語/ダリー語/ウルドゥー語/ヒンディー語)を含む「官公庁風」件名・差出人のスコアを引き上げます。言語だけで弾くのではなく、検体の構造で判定するのが肝心です。
-
エンドポイント/OS制御
- PowerShell実行ポリシーの強化(Constrained Language Mode、Script Block/Module Logging有効化)と、rundll32の高リスク起動(外部書込みパス配下DLL、コマンドラインにエクスポート名指定)にアラートを張ります。
- LNK起点のプロセス生成検知を導入します。例: 親プロセス=explorer.exe、子=cmd.exe/powershell.exe/rundll32.exe、かつコマンドラインに「.lnk」やユーザーディレクトリ配下のパスが含まれる事象です。
- WDAC/AppLocker等でユーザー書込みパスからのDLL実行を制限します。
-
ネットワーク/プロキシ
- 未知の外向きTCP持続接続(長寿命・小サイズの周期ビート)の可視化と遮断を行います。プロキシ非経由通信の禁止徹底、Egressフィルタリングの穴(VPSレンジ、国外DCセグメント)を棚卸します。
- 既存フロー/PCAPのリトロハントを実施します(対象: 過去6〜12カ月、勤務時間外の持続TCPセッション、SNIなしTLS、User-Agent不審HTTPなど)。
-
ハンティングの観点(仮説ベース)
- LNKのターゲット/引数に「powershell -enc」「rundll32」、「mshta」「Invoke-WebRequest」「FromBase64String」等の痕跡。
- スケジューラ(schtasks)作成の直後に新規の外向き接続が発生する相関。
- ブラウザDB(Login Data/Keychain等)への不自然なアクセス直後の外向きPOST/PUT。
-
インシデント準備/練度向上
- 財務・支払・契約の重要業務担当者を対象に、LNK in ZIPの模擬演習(添付・本文・差出人・言語の観点)を即実施します。
- 省庁・国際機関・受託企業の三者間で、IOC共有と「重要支払に関する追加認証手順(コールバック、二経路確認)」の一斉リマインドを行います。
-
ステークホルダー別の高優先度対象
- 在外拠点(南アジア)、国際援助・開発案件を保有する部署、会計・調達・法務、公共案件を扱う営業・PM、海外子会社・代理店です。
-
期待値管理
- 本件は新規のゼロデイではなく、既知TTPの再演に近い様相です。検知・封じ込めの打ち手は揃っている一方、「言語ローカライズ」と「OSS RATの改変多様性」により、単一のシグネチャ依存は脆くなります。ふるまい検知と運用ガバナンスの二階建てで臨むのが現実解です。
最後に、今回のスコアリングから受け取るべきメッセージは「緊急度は高め、影響は重い、だが手はある」です。地理的には南アジアの案件でも、日本の官民は国際協力・受託・金融の“線”で結ばれています。一次情報(IOC/検体)が出次第、狩り直しとブロックリスト更新を即回す体制を整えておくことが、最も費用対効果の高い投資になりますです。
背景情報
- i Xeno RATは、リモートサーバーと通信し、コマンドを受け取るために設計されたマルウェアです。このマルウェアは、ファイル操作、キーストロークの記録、スクリーンショットの取得、クリップボードの監視など、さまざまな機能を持っています。
- i SideCopyは、透明な部族(Transparent Tribe)というAPTグループの一部であり、過去にはインドの軍事インフラを標的にした攻撃も行っています。彼らは、特定のターゲットに対してカスタマイズされた攻撃手法を用いることで知られています。