Check Point Software Technologiesは5月16日(米国時間)、「The Dragon Who Sold His Camaro: Analyzing Custom Router Implant - Check Point Research」において、中国国家支援の持続的標的型攻撃(APT: Advanced Persistent Threat)グループ「Camaro Dragon」が、欧州の外務機関をターゲットに高度な標的型攻撃キャンペーンを展開していると伝えた。このキャンペーンは、同様に中国国家に関連する持続的標的型攻撃グループ「Mustang Panda」が行っていたキャンペーンと類似しているという。
このキャンペーンでは、TP-Linkルータ用に調整された悪意のあるファームウェアインプラントが使われている。インプラントには「Horse Shell」と名付けられたカスタムバックドアが含まれており、複数の悪質なコンポーネントを備えていることが確認されている。
Horse Shellは持続的なアクセスを維持して匿名のインフラを構築し、侵害されたネットワークへの横移動を可能とする高度なバックドアとされている。Horse Shellが提供している主な機能は次のとおり。
- リモートシェル - 感染したルータ上で任意のシェルコマンドを実行する
- ファイル転送 - 感染したルータとの間でファイルをアップロードおよびダウンロードする
- SOCKSトンネリング - 異なるクライアント間の通信を中継する
Check Point Software Technologiesは、今回のキャンペーンについて、インターネットに接続されたネットワーク機器を悪用し、その基盤となるソフトウェアやファームウェアを変更する中国の脅威グループの新たな事例と評している。Camaro Dragonを含む中国支援のサイバー犯罪者グループがエッジデバイス、特にルータを標的とするマルウェア攻撃を継続して展開していると考えられており、ネットワーク上で不審な活動に警戒するよう注意が呼びかけている。