Red Apollo

Red Apollo（または、APT 10（Mandiantによって呼称される）、または、MenuPass（ファイア・アイ)、Stone Panda（Crowdstrike）、POTASSIUM（Microsoftによって呼称される）^[1][2]）は、2006年から活動する中華人民共和国の国家支援を受けたサイバースパイグループである。

Red Apollo

設立地	中華人民共和国
目的	サイバースパイ、サイバー戦争
公用語	中国語
関連組織	中華人民共和国国家安全部 天津市国家安全局（英語版）
特記事項	攻撃方法:ゼロデイ攻撃、フィッシング、バックドア、RAT、キーロガー
かつての呼び名	APT10 Stone Panda MenuPass RedLeaves CVNX POTASSIUM

解説

2018年、アメリカ合衆国司法省は起訴状で当グループを中華人民共和国国家安全部の天津市国家安全局に帰属させている^[3]。

このグループはサイバーセキュリティ企業ファイア・アイによって高度で持続的な脅威に指定されており、航空宇宙、工学、通信企業、および中国が敵対する政府を標的にしていると報告されている。

ファイア・アイは、日本の大学などにおける教育機関の知的財産を標的にしている可能性があり、アメリカと同盟関係にある国の管轄内の教育分野にハッキングを拡大する可能性が高いと言及した^[4]。またファイア・アイは、2009年からこのグループを追跡していたが脅威が低く、よって優先度も低かったとしている^[4]。

戦術

このグループは、リモートアクセス型トロイの木馬を使用し、管理情報技術サービスプロバイダ（MSP）を直接標的としている。MSPの一般的な役割は、企業のコンピュータネットワークの管理の支援であるが、MSPは、スピアフィッシングメールを使用して、Poison Ivy、FakeMicrosoft、PlugX、ArtIEF、Graftor、またはChChesによって頻繁に侵害されている^[5]。

経緯

2014年から2017年 クラウドホッパー作戦

クラウドホッパー作戦は、2017年にイギリス、アメリカ、日本、カナダ、ブラジル、フランス、スイス、ノルウェー、フィンランド、スウェーデン、南アフリカ、インド、タイ、韓国、オーストラリアのMSPを標的に大規模攻撃と情報窃取を行った。このグループはMSPを仲介者として、MSPクライアントのエンジニアリング、工業製造、小売、エネルギー、製薬、通信、政府機関から資産と企業秘密情報を窃盗した。

クラウドホッパー作戦では、70種超のバックドア、マルウェア、トロイの木馬 が使用された。これらはスピアフィッシングメールを通じて配信された。攻撃にはタスクのスケジュール、サービスやユーティリティの利用など、コンピュータシステムが再起動されてもMicrosoft Windowsシステムに存続した。システムにアクセスしてデータを盗むために、マルウェアやハッキングツールがインストールされた^[5]。

2016年のアメリカ海軍の人員データ

ハッカーは、330,000人中、130,000人のアメリカ海軍の記録にアクセスした^[6]。これらの行動の下で、アメリカ海軍はサイバー攻撃の前に警告が出されていたが、DXCテクノロジーと調整することを決定した^[7]。影響を受けたすべての兵士は通知を受けることが義務付けられた。

2018年の起訴

2018年の起訴状によれば、CVNXはグループ名ではなく、2人のハッカーのうちの1人の別名であるという証拠が提示され、2人とも、まるで5人以上のハッカーが攻撃したかのように見せる目的でそれぞれ4つの別名が使用されていた。

起訴後の活動

2019年4月にはAPT10として、フィリピンの政府機関及び民間組織を標的にした^[8]。

2020年、シマンテックは日本国内の標的に対する一連の攻撃にRed Apolloが関与していると指摘した^[9]。

2021年3月、バイオテクノロジー企業のバーラト・バイオテック（英語版）と世界最大のワクチンメーカーであるセラム・インスティテュート・オブ・インディアの知的財産を情報窃盗の標的にした^[10]。

2022年2月頃からAPT10（Red Apollo、Cicada）と係わりがあるとされるWitchetty（LookingFrog）がマルウェアに一つであるBackdoor.Stegmapをステガノグラフィーを使ってWindowsロゴに隠し、ディレクトリの作成と削除、実行ファイルのダウンロードと実行、ファイルのコピーと削除、レジストリキーの作成と読み取り、そしてローカルファイルの窃取がペイロードとされる^[11]。