# 中国のセキュリティ サービス企業 i-Soon

 のデータが漏えい、既知の中国 APT

 攻撃キャンペーンとのリンク見つかる

## 概要

2024 年 2 月 16 日、中国の IT セキュリティ サービス会社 i-Soon (別名 Anxun Information Technology)

に属する可能性のある社内通信、セールス関連資料、製品マニュアルを含むデータが何者かによって GitHub

にアップロードされました。漏えいした資料は、ある営利団体が、中国とつながりのある脅威アクターを支援するサイバー スパイ

ツールをどのように開発・サポートしたかを示すもののようです。漏えいデータの初期調査の一環として、Unit 42

は、データ漏えい内の情報と以前の中国とつながりのある持続的標的型攻撃 (APT) キャンペーンとのリンクを発見しました。Unit 42

は、この漏えいが本物であることを高い確度で評価しています。

たとえば、この漏えいに含まれていたある文書は、i-Soon が Treadstone マルウェア コントローラー

ソフトウェアを販売していたことを示しているようです。このソフトウェアは 2019 年に Elemental Taurus (別名 APT41)

[に帰属されており、米国の大陪審は成都404の従業員 3 名を起訴 [PDF] しています。](https://www.justice.gov/opa/press-release/file/1317206/dl)

Unit 42

は、漏えいしたデータの分析を通じ、アクターが所有するインフラと、中国の脅威アクターについての過去の報告と関連する潜在的マル

ウェアを特定しました。漏えいしたデータ範囲を考えると、本稿では初期分析と重要な調査結果を取り上げ、さらなるレポートは将来的

に提供することになりそうです。(漏えいデータが投稿された元の GitHub リポジトリは現在、利用規約違反を理由に GitHub

スタッフによって削除されていますが、リサーチャーは最初に共有された内容の研究を続ける予定です。)

漏えいデータに関する弊社の現在の理解に基づき、弊社のお客様は、パロアルトネットワークスのセキュリティ製品を通じ、本稿で言及

する中国の脅威アクターが使用するツールや手法からより適切に保護されています。


-----

|関連する Unit 42 のトピック|GitHub, China|
|---|---|


## 技術分析

GitHub リポジトリ上のテキストは、i-Soon がインド、タイ、ベトナム、韓国の政府のほか、政府間組織である NATO

を標的にしていると主張しています。これらの主張を検証するため、私たちは漏えいデータの分析を続けています。

当該 GitHub リポジトリには、オンライン

チャットの会話、スクリーンショット、おそらくは被害者ものと思われるデータ、セールスやサポートに関連する文書が混在しています

。テキストによる会話は 2018 年 11 月から 2023 年 1 月までのもので、37 名分の一意なユーザー名が含まれています。

会話の範囲は、一般的な会話や職場の問題から、ターゲット、ソフトウェアの脆弱性、顧客についての話まで多岐にわたります。

図 1 は、i-Soon のメンバー間で観測されたテキスト

コミュニケーションをグラフ化したもので、従業員間の関係と従業員間のメッセージの量を示しています。(特定のユーザー名と名前は伏

せています。)


-----

##### 図 1. i-Soon の漏えいしたオンライン チャットを視覚化したもの (特定のユーザー名は伏せてあります)

### 以前の脅威インテリジェンス レポートとのリンク

Unit 42は、漏えいした i-Soon のテキスト メッセージの会話から、中国系 APT (Advanced Persistent Threat 持続的標的型攻撃)

グループに帰属済みの、過去に報告のある 2 つのキャンペーンとのリンクを発見しました。

#### キャンペーン 1: 2022 年のサプライチェーン攻撃

[2022 年 9 月、Trend Micro が、カナダのソフトウェア会社 Comm100 に対するサプライチェーン攻撃を報じました。攻撃者は、公式 Web](https://www.trendmicro.com/en_sg/research/22/l/probing-weaponized-chat-applications-abused-in-supply-chain-atta.html)

サイトでホストされている Comm100 のチャットベースの顧客エンゲージメント

アプリケーションのインストーラーをトロイの木馬化していました。i-Soon の漏えいデータを調べたところ、i-Soon

がこの攻撃に関与していたという指標が見つかりました。


-----

表 1 には、i-Soon の 2 人のメンバー間の会話の抜粋が含まれています。ここでは IP アドレス 8.218.67[.]52 が i-Soon

のサーバーだとされています。

|日付|From|To|メッセージ|翻訳|
|---|---|---|---|---|
|2022- 06-13 7:39:1 9|wxid _c9x xxxx xxxx xxx|wxid_zb xxxxxxx xxxxx|扬州那边个问人pc的通道|[揚州のある個人または組 織が] ある特定の個人に属する PC チャネルへのアクセスを要 求またはリクエストしたい と考えています。|
|2022- 06-13 7:39:2 1|wxid _c9x xxxx xxxx xxx|wxid_zb xxxxxxx xxxxx|[捂脸]|[当惑または迷惑をかけて ごめんなさいという意味を 示唆する絵文字]|


-----

|2022- 06-13 7:39:2 3|wxid _c9x xxxx xxxx xxx|wxid_zb xxxxxxx xxxxx|现在能给不|今すぐ付与できますか?|
|---|---|---|---|---|
|2022- 06-13 7:40:2 6|wxid _zbx xxxx xxxx xxx|wxid_c9 xxxxxxx xxxxx|【彩宝贝】 【代理】 8.218.67[.]52:270 11 【TCP隧道】 8.218.67[.]52:170 11 【账号】 admin 【密码】 88888888|【 ギャンブルまたは宝くじの サイト】 【プロキシ】 8.218.67[.]52:27011 【TCP トンネル】 8.218.67[.]52:17011 【アカウント】 admin 【パスワード】 88888888|


-----

|2022- 06-13 7:40:3 4|wxid _c9x xxxx xxxx xxx|wxid_zb xxxxxxx xxxxx|嗯嗯|はいはい|
|---|---|---|---|---|
|2022- 06-13 7:40:3 7|wxid _c9x xxxx xxxx xxx|wxid_zb xxxxxxx xxxxx|我日|[卑語]|
|2022- 06-13 7:40:5 4|wxid _c9x xxxx xxxx xxx|wxid_zb xxxxxxx xxxxx|这个服务器在香港的|このサーバーは香港にあり ます|
|2022- 06-13 7:41:0 6|wxid _zbx xxxx xxxx xxx|wxid_c9 xxxxxxx xxxxx|你不管|心配する必要はありません|


-----

|2022- 06-13 7:41:0 7|wxid _c9x xxxx xxxx xxx|wxid_zb xxxxxxx xxxxx|<a href='068f70a1- 1ff9-451 b-999e- 2569860fd348. md'>domain_access _r esult(1).csv</a>|Col5|
|---|---|---|---|---|
|2022- 06-13 7:41:1 1|wxid _c9x xxxx xxxx xxx|wxid_zb xxxxxxx xxxxx|嗯|はい|
|2022- 06-13 7:41:1 4|wxid _zbx xxxx xxxx xxx|wxid_c9 xxxxxxx xxxxx|这个服务器是我们的|このサーバーは私たちのも のです|


-----

_1. IP 8.218.67[.]52 i-Soon_

上記の会話が行われた数日後の 2022 年 6 月 17 日、この IP アドレス 8.218.67[.]52 は SHA256
```
db4497090a94d0189aa3c3f4fcee30d5381453ec5aa38962e2ca971074b74e8b をもつ、ある Linux ELF

```
ファイルをホストしました。このファイルは hxxp[://]8.218.67[.]52/js/xxx.jpg という URL

から提供されていました。このファイルは実行されるとドメイン unix.s3amazonbucket[.]com (正規の Amazon ドメインではない)

への接続を試行します。

Trend Micro のレポートでは別のサブドメイン s3amazonbucket[.]com (analyaze.s3amazonbucket[.]com)

についても言及していますが、このサブドメインは、トロイの木馬化されたインストーラーのコマンド & コントロール (C2)

サーバーとして使われていました。
```
s3amazonbucket[.]com というドメインは i-Soon の制御下にあった可能性が高いことから、Unit 42 は、i-Soon

```
内のハッカーのグループが、Comm100 に対するサプライ チェーン攻撃に関与していたたことを中程度の確度で評価しています。

#### キャンペーン 2: 2019 年の Poison Carp 攻撃

[2019 年 9 月に、複数の iOS と Android のエクスプロイトを介してチベット人グループを標的としていた攻撃者について、Citizen Lab](https://citizenlab.ca/2019/09/poison-carp-tibetan-groups-targeted-with-1-click-mobile-exploits/)

[が報じました。Citizen Lab は、POISON CARP](https://citizenlab.ca/2019/09/poison-carp-tibetan-groups-targeted-with-1-click-mobile-exploits/)

の名前で追跡されている中国の脅威グループにこの攻撃を帰属させています。同レポートで言及されているドメインは、私たちが今回の

データ漏えい内で見つけた IP アドレスと結びつくものでした。

この IPアドレス 74.120.172[.]10 は、2020 年 9 月 22 日から 2024 年 2 月 20 日までの間は mailteso[.]online

というドメインに、2021 年 8 月 7 日から 2022 年 7 月 12 日までの間は、mailnotes[.]online というドメインに結びついていました。

表 2 は、IP アドレス 74.120.172[.]10 に関する i-Soon 従業員間の会話の概要を示したものです。

|日付|From|To|メッセージ|翻訳|
|---|---|---|---|---|


-----

|2023- 01-09 02:28: 14|wxid_ hlxxx xxxxx xxxx|wxid_ 12xxx xxxxx xxxx|等一下 平台有点问题|待ってください、プラットフォー ムに問題があります|
|---|---|---|---|---|
|2023- 01-09 02:28: 18|wxid_ 12xxx xxxxx xxxx|wxid_ hlxxx xxxxx xxxx|好的|OK|
|2023- 01-09 02:36: 19|wxid_ hlxxx xxxxx xxxx|wxid_ 12xxx xxxxx xxxx|hxxps[:/ /]74.120 .172[.]1 0:100 92/home||


-----

|2023- 01-09 02:36: 25|wxid_ hlxxx xxxxx xxxx|wxid_ 12xxx xxxxx xxxx|access OrFRXV LZtestUser lzqzmp@123|Col5|
|---|---|---|---|---|
|2023- 01-09 02:43: 51|wxid_ 12xxx xxxxx xxxx|wxid_ hlxxx xxxxx xxxx|演示视屏发一个|デモビデオを送信します|
|2023- 01-09 02:44: 06|wxid_ 12xxx xxxxx xxxx|wxid_ hlxxx xxxxx xxxx|这个资料都不用给 了|この情報を伝える必要はありませ ん|


-----

|2023- 01-09 02:44: 09|wxid_ 12xxx xxxxx xxxx|wxid_ hlxxx xxxxx xxxx|[呲牙]|【ニヤニヤ笑う絵文字】|
|---|---|---|---|---|
|2023- 01-09 02:44: 20|wxid_ hlxxx xxxxx xxxx|wxid_ 12xxx xxxxx xxxx|这是微软的试用版|これは Microsoft の [ツールの] 試用版です|
|2023- 01-09 02:44: 33|wxid_ 12xxx xxxxx xxxx|wxid_ hlxxx xxxxx xxxx|恩，我看到 了|見ました|


-----

|2023- 01-09 02:44: 51|wxid_ 12xxx xxxxx xxxx|wxid_ hlxxx xxxxx xxxx|微软的演示视频有|[この Microsoft Windows 吗 ツールの] デモ ビデオはありますか?|
|---|---|---|---|---|
|2023- 01-09 02:44: 58|wxid_ hlxxx xxxxx xxxx|wxid_ 12xxx xxxxx xxxx|我问下|聞いてみます|
|2023- 01-09 02:48: 54|wxid_ hlxxx xxxxx xxxx|wxid_ 12xxx xxxxx xxxx|<a href='12cef43 6-c870-4e0e -b36c- ae2a4e839f79. md'> .7z</a>|<a href='12cef436-C870 -4E0E-B36C-AE2A4 E839F79.MD'> Microsoft Mail Secret Platform .7z </a>|


-----

|2023- 01-09 02:52: 01|wxid_ 12xxx xxxxx xxxx|wxid_ hlxxx xxxxx xxxx|是不是你们视频错 啊|了 なにかビデオに問題がありますか ?|
|---|---|---|---|---|
|2023- 01-09 02:52: 03|wxid_ 12xxx xxxxx xxxx|wxid_ hlxxx xxxxx xxxx|我打不开|開けられません|
|2023- 01-09 02:55: 53|wxid_ hlxxx xxxxx xxxx|wxid_ 12xxx xxxxx xxxx|嗯？|はい?|


-----

|2023- 01-09 02:55: 56|wxid_ hlxxx xxxxx xxxx|wxid_ 12xxx xxxxx xxxx|解压就行了呀|とにかく展開してください|
|---|---|---|---|---|
|2023- 01-09 02:56: 36|wxid_ 12xxx xxxxx xxxx|wxid_ hlxxx xxxxx xxxx|估计是我没看视 屏的|動画は見なかったと思う|
|2023- 01-09 03:01: 26|wxid_ 12xxx xxxxx xxxx|wxid_ hlxxx xxxxx xxxx|还有安卓的远控|Android RAT も|


-----

|2023- 01-09 03:02: 07|wxid_ hlxxx xxxxx xxxx|wxid_ 12xxx xxxxx xxxx|安卓稍等一 下 有点问题|ちょっと待って、Android のやつになにか問題があります|
|---|---|---|---|---|
|2023- 01-09 03:02: 26|wxid_ 12xxx xxxxx xxxx|wxid_ hlxxx xxxxx xxxx|好|OK|


-----

_2. IP 74.120.172[.]10 i-Soon_

Citizen Lab による報告の当時、mailnotes[.]online は IPアドレス 207.246.101[.]169 に結びついていました。またこの IP

アドレスはこれと同じ時期、ドメイン gmail.isooncloud[.]com に結びついていました。

### 既知の中国の侵入セットとのリンク

今回のデータ漏えいには、さまざまなソフトウェア

ツールのマニュアルやホワイトペーパーが含まれています。とくに重要なのは、これらのツールには、過去に中国系 APT

グループに帰属されたソフトウェアが含まれているということです。

i-Soon がこれらのツールの開発者だったのか、リセラーだったのか、単なるエンド

ユーザーだったのかは現時点ではわかりません。しかし、今回漏えいした文書は、中国に帰属されている複数の脅威アクターのグループ

が、同一の、おそらくは商用化されたマルウェア ツール

セットを、頻繁に使用しているという以前の報告を裏付けるものとなっています。

ドキュメントの 1 つには、「Anxun Information Technology Co., Ltd.」と翻訳されるフッターが含まれています。これは、i-Soon

が販売するさまざまなソフトウェア ツールの製品マニュアルのようです。これらのツールには、Windows、Mac、iOS、Android、Linux

用のリモート コントロール管理システムが含まれています。

図 2 に示した Linux 用のリモート

コントロール管理ソフトウェアは注目に値します。なぜなら、同ツールの機能説明用に文書内で提供されているこのスクリーンショット

のマルウェア コントロール パネル名は「Treadstone」となっているからです。2019 年の米国大陪審による成都404の従業員 3

[名の起訴では、直接 Treadstone に言及しています。](https://www.justice.gov/media/1095686/dl)


-----

##### 図 2. 漏えいした製品マニュアルからの Treadstone Linux マルウェア コントロール

 パネルのスクリーンショット

起訴状では、Treadstone マルウェア コントローラー ソフトウェアは「当時、少数のハッカー グループのみが使用していた Winnti

マルウェアと連携するように設計されていた」とされています。成都404 がソフトウェア開発契約をめぐる紛争で i-Soon

[に対する訴訟を起こしたという 2023 年 10 月の報告からすると、i-Soon が Treadstone パネルを開発した可能性があります。](https://nattothoughts.substack.com/p/i-soon-another-company-in-the-apt41)

既知の中国製 APT ツールに関連するもう 1 つの文書は、Windows リモート

コントロール管理システムに関するホワイトペーパーです。このドキュメントは、システムとネットワークのアーキテクチャ、製品の機

能について説明しています。ツールの管理について説明しているページには、管理者パネルとおぼしきもののスクリーンショットが掲載

されています (図 3 参照)。


-----

##### 図 3. 既知の中国製 APT ツールと関連している Windows リモート

 コントロール管理システムの管理者パネル

このスクリーンショットには、構成済みのパブリック IP アドレス/ポートとして TCP[://]118.31.3[.]116:44444

[が表示されています。SentinelLabs はこの IP アドレスが 2021 年 8 月に ShadowPad の C2](https://www.sentinelone.com/labs/shadowpad-a-masterpiece-of-privately-sold-malware-in-chinese-espionage/)

サーバーとして使用されていたと報告し、同アドレスを Winnti グループに帰属させています。Winnti グループに対するこの 2

つめのリンクは、i-Soon が既知の Winnti ツール セット開発に関与していたという証拠をさらに追加するものとなっています。

## 結論

今回のデータ漏えいは、これまで米国政府の起訴や報告書を通じてしか明らかにされてこなかった中国の民間部門のハッキング産業に関

し、特異な洞察を提供するものとなっています。また、グループ間での同一ツール

セットの共有・再販方法がどのようなものであるかなど、中国の脅威アクターの能力に関してさらに理解を深めてくれるものでもありま

す。こうしたツールの拡散は、防御側や脅威インテリジェンス アナリストによる帰属特定をさらに困難なものにします。

Unit 42 は漏えいデータの分析を継続し、共有すべき情報が見つかりしだい、本稿を定期的に更新します。


-----

漏えいデータに関する弊社の現在の理解に基づき、弊社のお客様は、パロアルトネットワークスのセキュリティ製品を通じ、本稿で言及

する中国の脅威アクターが使用するツールや手法からより適切に保護されています。本稿で取り上げたキャンペーンに関連する悪意のあ

[る IP アドレスは Advanced URL Filtering によってブロックされます。](https://docs.paloaltonetworks.com/advanced-url-filtering/administration)

[侵害の懸念があり弊社にインシデントレスポンスに関するご相談をなさりたい場合は、こちらのフォーム](https://start.paloaltonetworks.jp/contact-unit42.html)

からご連絡いただくか、infojapan@paloaltonetworks.com

までメールにてご連絡いただくか、下記の電話番号までお問い合わせください (ご相談は弊社製品のお客様には限定されません)。

##### 北米フリーダイヤル: 866.486.4842 (866.4.UNIT42)

 EMEA: +31.20.299.3130

 APAC: +65.6983.8730

 日本: (+81) 50-1790-0200

パロアルトネットワークスは、これらの調査結果を Cyber Threat Alliance (CTA: サイバー脅威アライアンス)

のメンバーと共有しました。CTA

のメンバーはこのインテリジェンスを使って、お客様に保護を迅速に提供し、悪意のあるサイバー攻撃者を体系的に阻害できます。詳細

[は Cyber Threat Alliance にてご確認ください｡](https://www.cyberthreatalliance.org)

## 追加リソース

##### Probing Weaponized Chat Applications Abused in Supply-Chain Attacks – Trend Micro

 Missing Link: Tibetan Groups Targeted with 1-Click Mobile Exploits – The Citizen Lab, Munk

 School of Global Affairs and Policy, University of Toronto

 ShadowPad | A Masterpiece of Privately Sold Malware in Chinese Espionage – SentinelLabs,

 SentinelOne

_2024-02-28 08:38 JST 2024-02-27 08:03 PST 2 3_


-----