Check Point Software Technologiesは7月3日(米国時間)、「Chinese Threat Actors Targeting Europe in SmugX Campaign - Check Point Research」において、中国の脅威者が欧州の政府機関を標的としたサイバー攻撃を展開していると伝えた。攻撃者はHTMLスマグリングを実行し、侵害したシステムに遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)であるPlugXを配置していることが明らかとなった。
「SmugX」と呼ばれる、サイバー攻撃のキャンペーンが特定された。このキャンペーンは中国の持続的標的型攻撃(APT: Advanced Persistent Threat)アクタであるRedDeltaやMustang Pandaの活動と類似しているという。証拠は不十分だが、同じく中国支援の脅威グループであるCamaro Dragonによる欧州の外務機関をターゲットにしたキャンペーンと相関関係にあると分析されている(参考「中国支援の脅威グループ、ルータにマルウェアを感染させてEU機関を攻撃 | TECH+(テックプラス)」)
SmugXキャンペーンでは悪意のあるHTML文書がルアーとして使われ、HTMLスマグリングが実行されている。ルアーのテーマは欧州の内政や外交政策に重点が置かれており、主に東欧の政府省庁をターゲットにしていることが確認されている。
感染チェーンは主に2つあり、どちらも第2段階のペイロードをダウンロードフォルダに保存するHTMLファイルから始まる。1つのチェーンは悪意のあるLNKファイルを含むZIPファイルを使用し、もう1つのチェーンはJavaScriptを利用してリモートサーバから悪意のあるMSIファイルをダウンロードする。どちらの感染チェーンであっても、最終的にPlugXが実行されてしまう。
SmugXキャンペーンで使用された攻撃手法は新規性がなく、ユニークなものではないと判断されている。しかしながら、感染チェーンが多様化したことで検知率が低下し、監視を回避できたと考えられている。また中国の脅威者がヨーロッパに焦点を移していると推測されており、今後の動向が注目されている。