UNC6384 概要整理(参考文献リンク付き)
背景
- UNC6384 は中国と関係があるとされるサイバー諜報組織
- 2025年3月頃から活動 が確認され、外交官を主な標的とする
- 中国の国家的利益に沿った戦略的サイバー活動と見られる
標的
- 東南アジアの外交官
- その他、世界各国の外交機関や関係組織も影響対象
攻撃手法
- 社会工学で外交官を誘導
- Captive Portal Hijack(公共 Wi-Fi などの接続画面を偽装)
- 偽のソフト更新を装いマルウェアを配布
- デジタル署名偽装(成都企業経由の GlobalSign 証明書)で正規化を装う
- マルウェア展開:PlugX / SOGU.SEC を導入
使用マルウェア
- PlugX:中国系APTが長年利用するRAT(遠隔操作型トロイ)
- SOGU.SEC:メモリ常駐型の隠密後門、DLLハイジャックで検知回避
組織的特徴
- 長期間潜伏し、外交情報を窃取
- 中国APT Mustang Panda (TEMP.Hex) との関連性が強い
- グローバル規模で外交・安保分野を狙う
図解
攻撃の流れ
UNC6384 の位置づけ
まとめ表
| 項目 | 詳細 |
|---|---|
| 名称 | UNC6384 |
| 関連性 | 中国と関係するサイバー諜報組織 |
| 活動開始 | 2025年3月頃 |
| 標的 | 東南アジア外交官、その他外交機関 |
| 手法 | 社会工学、Wi-Fiハイジャック、偽更新、署名偽装 |
| マルウェア | PlugX、SOGU.SEC |
| 特徴 | メモリ常駐後門、DLLハイジャック、ステルス性 |
| 関連組織 | Mustang Panda(TEMP.Hex) |