Packet Pilot X (Twitter)
2026-01-08

UAT-7290が南アジアの重要な通信インフラを標的に

UAT-7290は、2022年以降活動している高度な脅威アクターであり、南アジアの通信インフラを標的にしたスパイ活動を行っています。このアクターは、RushDrop、DriveSwitch、SilentRaidと呼ばれるマルウェアを使用し、ターゲット組織に対して徹底的な技術的偵察を行った後に侵入を実行します。UAT-7290は、中国に関連する高度持続脅威(APT)グループに分類され、最近では東南ヨーロッパへの攻撃も拡大しています。

メトリクス

このニュースのスケール度合い

5.5 /10

インパクト

7.0 /10

予想外またはユニーク度

6.5 /10

脅威に備える準備が必要な期間が時間的にどれだけ近いか

7.5 /10

このニュースで行動が起きる/起こすべき度合い

6.5 /10

主なポイント

  • UAT-7290は、南アジアの通信プロバイダーを主な標的としており、スパイ活動を行っています。
  • このアクターは、オペレーショナルリレーボックス(ORB)ノードを設立し、他の中国関連のアクターによる悪意のある操作を支援しています。

社会的影響

  • ! この脅威は、南アジアの通信インフラの安全性に重大な影響を及ぼす可能性があります。
  • ! スパイ活動によって、国家の安全保障や経済に対するリスクが高まることが懸念されています。

編集長の意見

UAT-7290の活動は、特に南アジアの通信インフラに対する脅威を示しています。このアクターは、徹底的な偵察を行い、ターゲットのネットワークに深く侵入する能力を持っています。特に、RushDropやSilentRaidなどのマルウェアは、持続的なアクセスを確立するために設計されており、これにより長期的なスパイ活動が可能になります。さらに、UAT-7290は、他の中国関連の脅威アクターと共通の戦術を持っているため、国際的なサイバーセキュリティの観点からも注視が必要です。社会的影響としては、通信インフラが攻撃されることで、国民の生活や経済活動に直接的な影響を及ぼす可能性があります。今後の課題としては、これらの脅威に対する防御策の強化が求められます。特に、企業や政府機関は、最新の脅威情報を常に把握し、適切な対策を講じる必要があります。また、国際的な協力を通じて、サイバー脅威に対する共通の防御体制を構築することが重要です。これにより、UAT-7290のような脅威に対して効果的に対処できるようになるでしょう。

解説

通信インフラを起点に前線を押し広げるUAT-7290――Linux特化のスパイ運用が南アジアから欧州へ拡大です

今日の深掘りポイント

  • UAT-7290はLinuxベースのRushDrop/DriveSwitch/SilentRaidを軸に、インターネット接続のエッジ機器を足掛かりにするスパイ運用を磨いています。
  • 初期侵入は「公開脆弱性の悪用」と「SSHブルートフォース」が中心で、侵入前の徹底した技術的偵察が特徴です。
  • ORB(Operational Relay Box)ノードでリレー基盤を構築し、他の中国関連アクターの作戦も支援するエコシステム化の兆しがあります。
  • 南アジアの通信を主戦場にしつつ、東南ヨーロッパへ外延。地域連接性とサプライチェーンを通じ、日本企業の間接曝露も無視できない局面です。
  • いま必要なのは、偵察段階の可視化(ASM/EASMや外形監視)と、通信・装置サプライヤーを巻き込むリスク評価の同時並行です。

はじめに

通信インフラは、目に見えにくいのに社会の隅々まで血を通わせる毛細血管のような存在です。ここに静かに入り込み、長い時間をかけて息を潜めるスパイ活動は、派手さはないものの国家・産業の意思決定に染み込むような影響を残します。UAT-7290はまさにそのタイプのアクターで、Linux中心の道具立てと、周到な偵察に支えられた運用でテレコムの「縁」を取りに来ています。
本件は南アジアが主舞台ですが、運用の広がりは東南ヨーロッパにも及びます。相互接続・ローミング・国際バックホール・MSP/ベンダー運用といった構造的な連関を考えると、日本のCISOやSOCにとっても対岸の火事ではありません。むしろ「左側で拾う」準備を整えられるかが試されていると感じます。

深掘り詳細

事実(プライマリソースから)

  • 脅威アクターUAT-7290は2022年以降活動し、南アジアの通信インフラを主に標的化するスパイ作戦を展開しています。最近は東南ヨーロッパへの攻撃も拡大しています。
  • 使用マルウェアはLinuxベースで、RushDrop、DriveSwitch、SilentRaidが確認されています。目的は持続的アクセス(ステルスな長期常駐)を確立することです。
  • 初期アクセスは、公開脆弱性の悪用と、SSHブルートフォースによるインターネット接続エッジ機器の侵害が中心です。
  • 侵入前に対象ごとの徹底した技術的偵察を行い、通信事業者の実装や運用に合わせて侵攻を最適化します。
  • ORB(Operational Relay Box)と呼ばれるリレー基盤を設け、他の中国関連アクターの作戦に資する運用の相互支援も観測されています。
    出典: Cisco Talosの公開分析(リンクは末尾)です。

インサイト(編集部の考察)

  • Linux特化のツールチェーンという選択は、事業者ネットワークの現実と合致しています。テレコムの足回りはLinux系OSのアプライアンスや管理ノードが多く、EDRや収集テレメトリの「穴」がWindowsより残りやすいです。UAT-7290はこのギャップに正面から寄せていると見えます。
  • 「偵察の徹底」は、個別事業者のネットワークトポロジやベンダー構成、外部公開の管理プレーン、認証方式のクセまで踏まえて作戦を最適化する意図の表れです。偵察段階の検知・遮断が鍵になるゆえんです。
  • ORBノードの存在は、単独の侵害ではなく、インフラを共有・再利用する“運用のエコシステム化”を示唆します。これは観測・ブロックの難度を上げる一方、インフラ起点のスレット・インテリジェンス(指紋、ふるまい、リレー特性)で面として抑えにいける余地もあると見ます。
  • スコアリングが示すのは、発生確度と確からしさの高さ、そして行動に直結しうる具体性です。すぐに大騒ぎするタイプの出来事ではないとしても、「見つけて止める場所は左側にある」ことが読み解くべきメッセージだと考えます。ASM/EASM、露出資産の運用強度、Linuxテレメトリの整備は待ったなしです。

脅威シナリオと影響

以下は、公開情報に基づく仮説シナリオです。MITRE ATT&CKのテクニックは想定マッピングであり、実環境での検証を前提にしてください。

  • シナリオ1:エッジ機器から管理プレーンへ横展開し、長期常駐でネットワーク運用情報を収集する
    仮説の流れ:

    • 偵察で外部公開資産・管理IF・ベンダー指標を特定(外部偵察: T1590/組織偵察: T1591、被害者ホスト情報収集: T1592)
    • 公開脆弱性を突く、もしくはSSHブルートフォース(初期アクセス: Exploit Public-Facing Application T1190、Brute Force T1110)
    • Linux上にRushDrop/DriveSwitch/SilentRaidを投入(ツール転送: T1105)
    • 横展開して管理サーバや監視基盤に到達(リモートサービス: T1021、認証情報取得: T1003系)
    • 長期常駐し、構成情報・トポロジ・運用ログの収集と外送(コレクション: T1056/T1114、外部送信: T1041/T1048)
      影響仮説:
    • ネットワーク構成・運用手順の把握により、その後の標的化精度が飛躍的に向上します。復旧時にも攻撃者に“地の利”が残りやすくなります。

  • シナリオ2:侵害した通信インフラをリレー基盤(ORB)として他作戦の支援に活用する
    仮説の流れ:

    • 前段の侵害後、通信環境内にプロキシ/リレーを設置(C2: Application Layer Protocol T1071、Proxy利用: T1090)
    • 他の中国関連アクターの作戦流量の中継点として機能(リソース開発: インフラ獲得 T1583、被害者インフラの悪用 T1584)
      影響仮説:
    • 事業者の正当なASやIPから悪性トラフィックが出ることで、ブロックしづらい“信頼の悪用”が起きます。テイクダウンや法的対応も複雑化します。

  • シナリオ3:ローミング・相互接続・委託運用を介した間接侵入
    仮説の流れ:

    • 相互接続点やMSPの管理経路の露出を偵察(T1590/T1595)
    • 脆弱な第三者の経路から主要事業者の周縁へ侵入(サプライチェーン/トラステッドリレーションシップ: T1199)
      影響仮説:
    • 南アジアや東南ヨーロッパの侵害が、日本を含む他リージョンの相互接続を通じて“静かな圧”となって波及しうる点が厄介です。可視化の境界は自社のASやデータセンターの内側だけではありません。

いずれのシナリオも、侵害の“価値”は直接のデータ窃取に留まらず、リレー・踏み台としての戦略価値にあります。通信・政府・重要インフラは、機微情報のみならず「信頼の通路」を守る発想が必要です。

セキュリティ担当者のアクション

優先度と現実解の両面で、まずはここから着手することを推奨します。

  • 72時間プラン(露出資産の左側で止める)

    • インターネット公開のLinux/ネットワーク機器を棚卸しし、SSHのパスワード認証停止・鍵認証強制・許可元IP制限を徹底します。レートリミットやfail2ban等でブルートフォースを鈍化させます。
    • 直近90日のsshdログ、認証失敗パターン、無人時間帯の成功ログイン、未知クライアントからの成功率上昇をハンティングします。
    • 外形監視(ASM/EASM)で、公開管理IF、既知脆弱性の露出、既定ポートの漂流(例: 22/2222/8022等)を即時是正します。
    • インバウンド/アウトバウンドのネットワーク監視で、長寿命SSH、未知の外部プロキシ、通常業務時間外のデータ外送をサプレスします。

  • Linuxテレメトリの底上げ(“Windows並み”の可視性へ)

    • プロセス生成、ネットワーク接続、ファイル変更、cron/systemd/timersの変更監視を標準化し、集中収集します。EDR非対応領域には軽量の監査d、eBPFベースのセンサーなど代替を用意します。
    • /tmpや/dev/shm、隠しディレクトリでの実行や自己削除など、耳慣れない実行痕の検出ルールを整備します。マルウェア名(RushDrop/DriveSwitch/SilentRaid)文字列は参考程度に、挙動重視で検出します。

  • 偵察段階の検知と妨害

    • 大量のService/Portスキャン、TLS ClientHelloの類似性、脆弱性スキャナの指紋をWAF/CDN/ファイアウォールで計測・遮断します。ASN単位の異常集計をダッシュボード化します。
    • TTPベースの早期アラート(公開脆弱性悪用流量、SSH辞書攻撃の季節性・日周性変化)をMDRや外部TIPと連携します。

  • ORB/リレー基盤を面で監視する

    • 出口/横方向での“社外IPから社外IPへ”のプロキシ挙動を検出します。正当な踏み台運用とのSOPを明文化し、逸脱検知を運用に乗せます。
    • ピア事業者・ベンダー・MSPとIOCよりも“インフラの特徴量”(長寿命セッション、転送比率、時間分布)を共有できる枠組み(ISACや双務連携)を強化します。

  • サプライチェーン・委託運用の健全化

    • ベンダーのリモート保守経路を棚卸しし、発信元IPのホワイトリスト化と多要素認証を徹底します。作業ウィンドウ/チケット連動のジャストインタイムアクセスに切り替えます。
    • 契約面で、脆弱性対応SLA、ログ保全要件、インシデント共有の時限を「時間で約束」します。相手先のASM報告も四半期ごとに求めます。

  • レジリエンス演習と検証

    • 攻撃シナリオ(T1190+T1110起点、Linux横展開、プロキシ化)の机上演習とテクニカル演習を分けて実施します。復旧時の“信頼の回復”(鍵・証明書・管理経路の再発行)を演習に含めます。
    • 検知カバレッジをMITRE ATT&CKで棚卸しし、特に初期アクセス/C2/永続化(Linux)の穴を数値化して投資判断に結びつけます。

編集部として最後に強調したいのは、「どこで勝負するか」を決めることです。本件のような作戦は、侵入後の追跡合戦では不利です。偵察段階と初期アクセスでの“左側の決着”を設計できる組織が、長期戦でも疲れません。通信の“信頼”そのものを資産として守るつもりで、日々の運用を少しだけ前倒しにしていきたいところです。

参考情報

  • Cisco Talos: UAT-7290(RushDrop/DriveSwitch/SilentRaid、通信事業者標的の分析)https://blog.talosintelligence.com/uat-7290/

背景情報

  • i UAT-7290は、Linuxベースのマルウェアスイートを主に利用し、特にRushDrop、DriveSwitch、SilentRaidなどのマルウェアを使用して侵入を行います。これらのマルウェアは、ターゲットのネットワークに持続的なアクセスを確立するために設計されています。
  • i この脅威アクターは、公開されている脆弱性を利用して初期アクセスを獲得し、SSHブルートフォース攻撃を通じて公に接続されたエッジデバイスを侵害します。UAT-7290は、他の中国関連の脅威アクターと共通の戦術、技術、手順(TTP)を持っています。
Packet News 一覧へ戻る