{ "id": "2519bec1-ddb1-41c8-955c-b86b5dbfdc8b", "created_at": "2026-04-06T00:20:52.743915Z", "updated_at": "2026-04-10T03:36:33.517194Z", "deleted_at": null, "sha1_hash": "78f60c36b1f1b0bec24de2ae487d3e997bb8eab2", "title": "中国圏拠点のMustang Pandaがマルウェア「Claimloader」で標的型攻撃、日本にも影響か | LAC WATCH", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 1041045, "plain_text": "中国圏拠点のMustang Pandaがマルウェア「Claimloader」で標\r\n的型攻撃、日本にも影響か | LAC WATCH\r\nBy 石川 芳浩\r\nPublished: 2022-11-17 · Archived: 2026-04-05 19:03:44 UTC\r\nラックの石川です。\r\n2022年11月、ラックの脅威分析チームは、中国圏を拠点とするMustang Pandaと呼ばれる攻撃者グルー\r\nプがフィリピン政府組織または関連組織を標的としていると考えられる新たな活動を確認していま\r\nす。この攻撃では、日米比三カ国会議(The U.S.-Japan-Philippines Security Triangle: Enhancing Maritime\r\nSecurity, Shared Strategic Outlooks, and Defense Cooperation)※1に関連する文書を装ったアーカイブファ\r\nイルが利用されていました。会議の内容から見ても、日本組織にも同様の攻撃が行われている可能性\r\nがあるため、今回は、このアーカイブファイルから展開される一連の攻撃について紹介します。\r\n※1 JIIA -日本国際問題研究所-図1は、アーカイブファイル(for PH-JP-US Trilateral Cooperation(11-07-2022).zip)からの一連の攻撃の\r\n流れを示した概要図です。\r\nhttps://www.lac.co.jp/lacwatch/report/20221117_003189.html\r\nPage 1 of 10\n\n図1 アーカイブファイルからの攻撃の概要図\r\nこのアーカイブファイルには、2つのファイルが含まれており、1つは、\"for PH-JP-US Trilateral\r\nCooperation.exe\"というファイル名のMicrosoft社が提供する正規ファイル(AccEventツール)です。もう\r\n1つのファイルが、\"EVENT.dll\"というファイル名のマルウェアClaimloaderであり、DLLサイドローディ\r\nング手法を悪用して、正規のAccEventツールが実行される際に読み込まれます。\r\n目次\r\n1. Claimloaderについて\r\n2. 主張(メッセージ)\r\n3. アンチデバッグ機能\r\n4. 永続化機能\r\n5. シェルコードの実行方法\r\n6. シェルコードについて\r\nhttps://www.lac.co.jp/lacwatch/report/20221117_003189.html\r\nPage 2 of 10\n\n7. まとめ\r\n8. IOC(Indicator Of Compromised)\r\nClaimloaderについて\r\nMustang Pandaは、PlugX、Cobalt Strike、Metasploit Framework(Meterpreter)などの様々なツールやマル\r\nウェアを攻撃活動に利用することが知られていますが、2021年12月下旬からシェルコードを内包する\r\n新しいマルウェアClaimloaderを利用することを確認しました。このマルウェアは、Cisco Talos社が2022\r\n年5月に報告したMustang Pandaに関するブログ※2において、\"Bespoke stagers(カスタムステージ\r\nャ)\"として紹介されていますが、今回確認した2022年11月の検体ではいくつか機能の追加や変更が行\r\nわれていました。以降では、ブログでは触れられていない点や変更点、新しく実装された機能につい\r\nて、新旧の機能を比較しつつ紹介します。\r\n※2 Mustang Panda deploys a new wave of malware targeting Europe\r\n主張(メッセージ)\r\nMustang Pandaは、しばしば自身が作成するマルウェアの中にキーワードやメッセージを埋め込み、\r\nMessageBox()関数やOutputDebugString()関数などを利用して、これらの内容を表示する機能を実装して\r\nいます。2022年8月および11月に確認したClaimloaderでは、米国の選挙に関するキーワードなどが含ま\r\nれていることがわかります。(図2)\r\n図2 Claimloader内に埋め込まれたメッセージの一部(上:2022年8月/下:2022年11月)\r\nアンチデバッグ機能\r\n図3に示すように、実行されると、IsDebuggerPresent()関数およびCheckRemoteDebuggerPresent()関数を\r\n呼び出し、自身がデバッカー等を利用して解析されているかどうかをチェックします。この際に1秒以\r\nhttps://www.lac.co.jp/lacwatch/report/20221117_003189.html\r\nPage 3 of 10\n\n内に処理が進まないと解析が行われていると判断し、処理を終了させます。この機能は、2022年11月\r\nのClaimloaderから実装されています。\r\n図3 アンチデバック機能\r\n永続化機能\r\nClaimloaderは、永続化機能として、タスクスケジューラおよびRunレジストリキーを利用します。図4\r\nに示すように、Runレジストリキーへの登録がregコマンドを実行する方法から新しい検体では、\r\nSHSetValueA()関数を呼び出し、レジストリキーの値を設定する方法に変更されていました。\r\nhttps://www.lac.co.jp/lacwatch/report/20221117_003189.html\r\nPage 4 of 10\n\n図4 Runレジストリによる永続化機能(上:旧/下:新)\r\n一方、タスクスケジューラへの登録方法については、実行されるファイルやパス名の違いはあります\r\nが、実行コマンドには大きな変化はなく、今回の検体では図5のようなコマンドを実行し、1 分おきに\r\n自身を実行するスケジュールタスクをシステムに作成します。\r\n図5 タスクスケジューラによる永続化機能\r\nシェルコードの実行方法\r\n旧Claimloaderでは、CreateThread()関数を利用してメモリ領域上に展開されたシェルコードを実行して\r\nいましたが、今回の検体では、CryptEnumOIDInfo()関数を利用して、シェルコードを実行します。(図\r\n6)\r\nその他の類似検体では、LineDDA()関数、GrayStringW()関数やEnumDateFormatsA()関数を利用してお\r\nり、攻撃者は、攻撃キャンペーンに応じて、シェルコードの実行方法を様々に変更しているようで\r\nす。\r\nhttps://www.lac.co.jp/lacwatch/report/20221117_003189.html\r\nPage 5 of 10\n\n図6 シェルコードの実行方法(上:旧/下:新)\r\nまた、この実行されるシェルコードは、0x20バイトごとに分割されて格納されており、それぞれカス\r\nタムAES(鍵スケジュール関数やAddRoundKey関数などが標準と異なる)で暗号化されています。図7\r\nは、格納されたコードの一例であり、このケースでは、青線枠が暗号化されたシェルコードの一部、\r\n赤線枠が暗号鍵です。\r\nhttps://www.lac.co.jp/lacwatch/report/20221117_003189.html\r\nPage 6 of 10\n\n図7 Claimloaderに含まれる暗号化されたシェルコード(一部)\r\nシェルコードについて\r\nシェルコードは、新たなシェルコードをC2サーバからダウンロードし、実行するダウンローダのよう\r\nな役割を持ちます。シェルコードが呼び出すAPI名は、ror13AddHash32でハッシュ化されており、ま\r\nた、通信先のC2サーバは、リトルエンディアンでハードコードされています。(図8)\r\nhttps://www.lac.co.jp/lacwatch/report/20221117_003189.html\r\nPage 7 of 10\n\n図8 ハードコードされた通信先\r\nこのシェルコードもCisco Talos社が報告する検体から変更が加えられ、今回の検体ではC2サーバへの通\r\n信方法が異なっていました。旧検体は、図9に示すようにソケット通信で80/TCPを利用し、C2サーバへ\r\nリクエストを送信していましたが、新検体では、HTTP POST通信が利用されていました。(図10)\r\n図9 ソケット通信\r\n図10 HTTP POST通信\r\nPOST通信の送信データは、図11で示すように\"ボリュームシリアル番号、システム起動後の経過時間\r\n(一部)、ホスト名およびユーザー名\"が含まれており、RC4で暗号化されています。なお、暗号鍵は\"\r\n0x785a124d751414116c0271155a7305087014653b644222232000000000000000\"であり、旧検体と同じキー\r\nが継続して利用されています。\r\n図11 C2サーバに送信するデータ\r\n最後に、改めてPOST通信を確認してみると、Hostヘッダには\"www.asia.microsoft.com\"が指定されてい\r\nますが、この検体のC2サーバは、図8の示すように\"158.255.2[.]63\"であり、Hostヘッダが攻撃者によっ\r\nて偽装されていることがわかります。\r\nこのような通信が発生した場合、セキュリティ機器によっては、C2サーバへの通信が\"microsoft.com\"へ\r\nアクセスしているように記録されてしまう可能性があるため、通常通信と誤認しないように注意が必\r\n要です。\r\nまとめ\r\nhttps://www.lac.co.jp/lacwatch/report/20221117_003189.html\r\nPage 8 of 10\n\nMustang Pandaは、アジア諸国、欧州連合、米国など、世界各地の政府機関や関連組織を標的とし、積\r\n極的に活動していることが報告されています。特に、昨今はミャンマー、フィリピン、タイといった\r\nアジア諸国へのClaimloaderを利用した攻撃が散見されています。日本組織においても、その攻撃活動\r\nの影響を確認しており、弊社では、2021年3月頃にPlugXを利用された事案を確認しています。今後、\r\n本格的に日本組織をターゲットとしてくる可能性も考えられますので、その活動を注視していく必要\r\nがあると考えます。\r\nラックの脅威分析チームでは、今後もこの攻撃者グループについて継続的に調査し、広く情報を提供\r\nしていきますので、ご活用いただければ幸いです。\r\nIOC(Indicator Of Compromised)\r\nClaimloaderハッシュ値(MD5)\r\n10cd7afd580ee9c222b0a87ff241d306\r\n694b7966a6919372ca0cf8cf49c867d9\r\n11689d791ed4c36fdc62b3d1bcf085b1\r\n6391ab75ac20f2f59179092446ed5052\r\n27ebc3afcca85151326c4428e795d21d\r\n268d61837aa248c1d49a973612a129ce\r\na84958c32cd9884a052be62bdbe929cf\r\nf826e9e84b5690725b5f5a0cd12ed125\r\n4a2992b4c7a1573bf7c74065e3bf5b0d\r\ne7d91f187ff9037d52458e2085929409\r\n793d0e610ecac2da4a8b07ff2ff306ac\r\nf6aa6056a4c26ab02494dfaa7e362219\r\n8f539d19929fdaa145edd8f7536ec9c9\r\nd78e0a4a691077a29e62d767730b42bf\r\nアーカイブファイル ハッシュ値(MD5)\r\nd1ec01ff605a64ab8c12e2f3ca2414a4\r\n69b40a4dbca10fe6b6353f3553785080\r\n19f22b4c9add7d91a18b2e3de76757a3\r\na0e268be651237d247b00de5054d46ef\r\nae358c1915e794671a1d710d9359146d\r\nfcd6691fc59610a50740a170a8a5a76f\r\na1c010659ea4b06461d5a99d16a91f24\r\n951233cbe6bb02b548daf71cc53f7896\r\nb9327186666fd00ae01bc776006b85ae\r\n通信先\r\nhttps://www.lac.co.jp/lacwatch/report/20221117_003189.html\r\nPage 9 of 10\n\n103.15.28[.]208\r\n103.15.29[.]179\r\n158.255.2[.]63\r\n202.53.148[.]24\r\n202.58.105[.]38\r\n89.38.225[.]151\r\nSource: https://www.lac.co.jp/lacwatch/report/20221117_003189.html\r\nhttps://www.lac.co.jp/lacwatch/report/20221117_003189.html\r\nPage 10 of 10", "extraction_quality": 1, "language": "JA", "sources": [ "Malpedia" ], "references": [ "https://www.lac.co.jp/lacwatch/report/20221117_003189.html" ], "report_names": [ "20221117_003189.html" ], "threat_actors": [ { "id": "b69037ec-2605-4de4-bb32-a20d780a8406", "created_at": "2023-01-06T13:46:38.790766Z", "updated_at": "2026-04-10T02:00:03.101635Z", "deleted_at": null, "main_name": "MUSTANG PANDA", "aliases": [ "Stately Taurus", "LuminousMoth", "TANTALUM", "Twill Typhoon", "TEMP.HEX", "Earth Preta", "Polaris", "BRONZE PRESIDENT", "HoneyMyte", "Red Lich", "TA416" ], "source_name": "MISPGALAXY:MUSTANG PANDA", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "6daadf00-952c-408a-89be-aa490d891743", "created_at": "2025-08-07T02:03:24.654882Z", "updated_at": "2026-04-10T02:00:03.645565Z", "deleted_at": null, "main_name": "BRONZE PRESIDENT", "aliases": [ "Earth Preta ", "HoneyMyte ", "Mustang Panda ", "Red Delta ", "Red Lich ", "Stately Taurus ", "TA416 ", "Temp.Hex ", "Twill Typhoon " ], "source_name": "Secureworks:BRONZE PRESIDENT", "tools": [ "BlueShell", "China Chopper", "Claimloader", "Cobalt Strike", "HIUPAN", "ORat", "PTSOCKET", "PUBLOAD", "PlugX", "RCSession", "TONESHELL", "TinyNote" ], "source_id": "Secureworks", "reports": null }, { "id": "9baa7519-772a-4862-b412-6f0463691b89", "created_at": "2022-10-25T15:50:23.354429Z", "updated_at": "2026-04-10T02:00:05.310361Z", "deleted_at": null, "main_name": "Mustang Panda", "aliases": [ "Mustang Panda", "TA416", "RedDelta", "BRONZE PRESIDENT", "STATELY TAURUS", "FIREANT", "CAMARO DRAGON", "EARTH PRETA", "HIVE0154", "TWILL TYPHOON", "TANTALUM", "LUMINOUS MOTH", "UNC6384", "TEMP.Hex", "Red Lich" ], "source_name": "MITRE:Mustang Panda", "tools": [ "CANONSTAGER", "STATICPLUGIN", "ShadowPad", "TONESHELL", "Cobalt Strike", "HIUPAN", "Impacket", "SplatCloak", "PAKLOG", "Wevtutil", "AdFind", "CLAIMLOADER", "Mimikatz", "PUBLOAD", "StarProxy", "CorKLOG", "RCSession", "NBTscan", "PoisonIvy", "SplatDropper", "China Chopper", "PlugX" ], "source_id": "MITRE", "reports": null }, { "id": "2ee03999-5432-4a65-a850-c543b4fefc3d", "created_at": "2022-10-25T16:07:23.882813Z", "updated_at": "2026-04-10T02:00:04.776949Z", "deleted_at": null, "main_name": "Mustang Panda", "aliases": [ "Bronze President", "Camaro Dragon", "Earth Preta", "G0129", "Hive0154", "HoneyMyte", "Mustang Panda", "Operation SMUGX", "Operation SmugX", "PKPLUG", "Red Lich", "Stately Taurus", "TEMP.Hex", "Twill Typhoon" ], "source_name": "ETDA:Mustang Panda", "tools": [ "9002 RAT", "AdFind", "Agent.dhwf", "Agentemis", "CHINACHOPPER", "China Chopper", "Chymine", "ClaimLoader", "Cobalt Strike", "CobaltStrike", "DCSync", "DOPLUGS", "Darkmoon", "Destroy RAT", "DestroyRAT", "Farseer", "Gen:Trojan.Heur.PT", "HOMEUNIX", "Hdump", "HenBox", "HidraQ", "Hodur", "Homux", "HopperTick", "Hydraq", "Impacket", "Kaba", "Korplug", "LadonGo", "MQsTTang", "McRAT", "MdmBot", "Mimikatz", "NBTscan", "NetSess", "Netview", "Orat", "POISONPLUG.SHADOW", "PUBLOAD", "PVE Find AD Users", "PlugX", "Poison Ivy", "PowerView", "QMAGENT", "RCSession", "RedDelta", "Roarur", "SPIVY", "ShadowPad Winnti", "SinoChopper", "Sogu", "TIGERPLUG", "TONEINS", "TONESHELL", "TVT", "TeamViewer", "Thoper", "TinyNote", "WispRider", "WmiExec", "XShellGhost", "Xamtrav", "Zupdax", "cobeacon", "nbtscan", "nmap", "pivy", "poisonivy" ], "source_id": "ETDA", "reports": null } ], "ts_created_at": 1775434852, "ts_updated_at": 1775792193, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/78f60c36b1f1b0bec24de2ae487d3e997bb8eab2.pdf", "text": "https://archive.orkl.eu/78f60c36b1f1b0bec24de2ae487d3e997bb8eab2.txt", "img": "https://archive.orkl.eu/78f60c36b1f1b0bec24de2ae487d3e997bb8eab2.jpg" } }