Google の Sheets と Calendar を C2 通信に悪用:中国 APT グループ TA415 の洗練された手法とは?

China-Aligned TA415 Hackers Uses Google Sheets and Google Calendar for C2 Communications

2025/09/17 CyberSecurityNews — 中国政府に支援される脅威アクター TA415 は、米国の政府/学術機関/シンクタンクを標的とする最近のキャンペーンにおいて、Google の Sheets や Calendar といった正規のクラウド・サービスを C2 通信に活用する戦術を示し、TTP (tactics, techniques, and procedures) を進化させている。2025年7月〜8月に、この洗練されたグループは、米中間の戦略と競合に関する特別委員会の現委員長などの著名人を装い、米国と中国の経済をテーマとするルアーを用いたスピアフィッシング攻撃を展開していた。

APT41/Brass Typhoon/Wicked Panda としても知られる TA415 は、従来のマルウェア配信メカニズムを放棄し、正規の開発ツールを悪用することで、国家支援のサイバー攻撃における大きな転換を示している。

このグループの最新キャンペーンでは、C2 (Command and Control) インフラに信頼できるサービスを悪用し、その活動を通常のネットワーク・トラフィック・パターンに紛れ込ませるという、意図的な戦略を採用している。

このアプローチにより、セキュリティ・ツールにとって必要となるのは、正当なビジネス通信と敵対的なコマンド・チャネルを区別することであり、検出作業が著しく複雑化している。

Proofpoint の研究者たちが特定した、最近の TA415 の活動は、地政学における広範な緊張と進行中の貿易交渉と連携するものであり、米国と中国の経済関係の動向に関する情報収集に主に重点を置いている。

これらのキャンペーンの時期は、米台関係をめぐる重要な政策協議や、中国を標的とする包括的な制裁の枠組みと重なっており、国家レベルの意思決定者による標的型情報収集の必要性を示唆している。

この脅威アクターが用いる感染手法は、Zoho WorkDrive/Dropbox/OpenDrive などのクラウド共有サービスを通じて、パスワードで保護されたアーカイブを配信することである。これらのアーカイブには、Microsoft ショート・カット・ファイルと、隠し macOS サブフォルダ内に保存される隠しコンポーネントが取り込まれている。

このグループは、メール送信中に送信者の IP アドレスを隠すために、Cloudflare WARP VPN サービスを継続的に利用しており、キャンペーンの運用セキュリティを強化している。

高度な感染チェーンの分析

TA415 の感染メカニズムは、Visual Studio Code リモート・トンネルを展開することで、正規の開発ワークフローを巧みに悪用している。

TA415 VS Code Remote Tunnel infection chain (Source – Proofpoint)

このワークフローが実行されると、悪意の LNK ファイルは “logon.bat” というバッチ・スクリプトを起動し、そこに埋め込まれた Python パッケージを介して、WhirlCoil Python ローダーを起動する。

このローダーは、静的な解析検出を回避するために、”IIIllIIIIlIlIIlIII” のような変数名や関数名を繰り返し使用するという、高度な難読化手法を採用している。

この WhirlCoil コンポーネントは、Microsoft の公式ソースから VSCode コマンド・ライン・インターフェイスをダウンロードし、%LOCALAPPDATA%\Microsoft\VSCode に展開する。そして、”GoogleUpdate “/”GoogleUpdated”/”MicrosoftHealthcareMonitorNode” といったスケジュールされたタスクを通じて、永続性を確立する。

このスクリプトは、コマンド “code.exe tunnel user login --provider github --name <COMPUTERNAME>” を実行して GitHub 認証済みのリモート・トンネルを作成し、従来のマルウェア・シグネチャに依存することなく永続的なアクセスを提供する。

また、収集されるシステム情報に含まれるのは、Windows のバージョン詳細/ロケール設定/コンピュータ ID/ユーザー名/ドメイン情報などであり、集められた情報は、POST リクエストを介して “requestrepo.com” などの無料リクエストログ・サービスに送信される。

最終的に、抽出されたデータは VS Code のリモート・トンネル検証コードと組み合わされ、脅威アクターはリモート・セッションを認証し、Visual Studio Code の統合ターミナル・インターフェイスを介して任意のコマンド実行を可能にする。

最近の APT の活動が、正規サービスや開発ツールの信頼の悪用にある点が説明されています。この攻撃者は、Google Sheets や VS Code リモートトンネル、クラウド共有を巧妙に悪用し、機能に含まれる脆弱性ではなく、正当な機能を悪用できる運用上の隙を突いています。さらに、パスワード付きアーカイブやショートカット経由の配布、WARPによる送信者の隠蔽といった手口が組み合わされ、検出が難しくなっていると、この記事は指摘しています。よろしければ、カテゴリ APT も、ご参照ください。