10年越しの諜報作戦が「マルチOS対応」に進化——3種のRATが示す新局面

2026年2月、サイバーセキュリティ企業Aryaka Threat Research LabsはAPT36(別名:Transparent Tribe)とSideCopyという2つのパキスタン系脅威グループが、インドの防衛機関および政府系組織を標的とした新たなキャンペーンを展開していることを確認した。注目すべき点は、これらの攻撃がWindowsとLinuxの両プラットフォームを同時に標的とする「クロスプラットフォーム型」に進化していることだ。使用されたマルウェアはGETA RAT・ARES RAT・Desk RATの3種(いずれもリモートアクセストロイの木馬)で、それぞれ異なるOSと侵入経路に最適化されている。APT36は10年以上にわたりインド政府・防衛機関への諜報活動を継続してきたグループであり、今回の変化はその「攻撃の産業化」を示している。

元記事・原文引用

元ネタAPT36 and SideCopy Launch Cross-Platform RAT Campaigns Against Indian Entities(The Hacker News / 2026年2月11日)

“These are not isolated events but a coordinated effort within a mature threat ecosystem — designed for patience rather than speed.”

(「これらは独立した事象ではなく、成熟した脅威生態系内の協調的な取り組みだ——速さではなく持久力のために設計されている」)

3種のRATが分担する役割——Windows・Linux・PowerPointを跨ぐ侵入設計

今回確認された3種のリモートアクセストロイの木馬は、それぞれ明確な役割分担を持っている。

GETA RAT(.NET製)はSideCopyが主に使用するWindowsターゲット向けのツールだ。フィッシングメールに添付されたLNKファイルやHTAファイル経由でインストールされ、正規のWindowsコンポーネント「mshta.exe」やXAMLデシリアライゼーションを悪用することでファイルベースのウイルス対策を回避する。ARES RAT(Python製)はAPT36が使用するLinuxターゲット向けで、Goベースのダウンローダーが自動的にシステムプロファイリング、再帰的ファイル列挙、データ流出を実行し、systemdユーザーサービスとして永続化される。Desk RAT(Go製)は最も新しいツールで、PowerPointアドイン形式で配布され、WebSocket通信でC2(コマンド&コントロール)サーバーと通信する。

これらは独立したツールではなく、「侵入→認証情報窃取→偵察→永続化→データ流出」というキルチェーンの各段階をプラットフォームをまたいでカバーする統合的な攻撃エコシステムとして機能している。

なぜインドの防衛機関が10年以上狙われ続けるのか——地政学が生む持続的サイバー諜報

APT36(Transparent Tribe)はパキスタン政府との関与が複数のセキュリティ研究者によって指摘されてきたグループだ。インドとパキスタンの間には、核兵器を保有する両国が70年以上にわたり対立するカシミール問題が存在し、その地政学的緊張がサイバー空間での諜報活動の動機となっている。

攻撃の特徴は「低ノイズ・長期継続型」であることだ。大規模なランサムウェア攻撃のように即座に発覚するリスクを取らず、防衛・政策・研究・重要インフラ関連組織に静かに潜伏し、長期にわたって情報を流出させる。Aryaka Threat Research Labsの報告によれば、過去1ヶ月間に防衛・政府組織を標的とした「複数の活動的キャンペーン」が観察されており、それらは独立した事件ではなく、成熟した脅威生態系内の協調的な取り組みだとしている。

今回のクロスプラットフォーム化は、攻撃対象の拡大を意味する。インド政府や防衛省が運用するLinuxベースのサーバーや、Windowsが混在するハイブリッド環境すべてが射程に入ったことになる。

日本の防衛・政府機関が学ぶべき3つの教訓

この問題を「インド対パキスタンの二国間問題」として距離を置くことは危険だ。日本が直面する脅威環境との類似点は多い。

第一に、正規ツールの悪用は日本でも主要手法となっている。2024年に警察庁が公表した北朝鮮系Lazarusグループの報告でも、Windowsの正規プロセスを悪用した手法が確認されている。mshta.exeのような正規ツールを使う攻撃はシグネチャベースの検出を容易に回避する。

第二に、クロスプラットフォーム化への対応が急務だ。日本の政府・防衛関連機関でもLinux環境の採用が進んでいるが、セキュリティ監視はWindowsに偏りがちだ。今回の事例はLinux環境における侵害検知体制の強化を迫っている。

第三に、サプライチェーン経由のリスクだ。日本・インド防衛協力が深まる中、インドの防衛・政府系パートナー企業を経由した間接的なリスクも生じうる。JICA(国際協力機構)が関与するデジタルインフラプロジェクトを含め、協力関係の拡大はリスクの共有でもある。

「静かな戦争」が問うもの——日本はインドの10年から何を学ぶか

APT36とSideCopyが10年かけて完成させたのは、地政学的緊張を動力源とした「持続可能なサイバー諜報インフラ」だ。派手な破壊活動ではなく、発覚しにくい長期潜伏型の情報窃取。防衛予算や政策文書、研究データが静かに流出し続ける構造。インドはこの脅威に10年以上さらされながら、ようやく攻撃エコシステムの全貌を把握し始めた段階だ。

日本はインドより早くこの教訓を受け取ることができる。クロスプラットフォーム対応の監視体制、正規ツール悪用の検知、そしてサプライチェーン全体のリスク評価——これらを「インドの話」ではなく「明日の自分ごと」として読むとき、この記事の意味が変わる。

パキスタンが10年かけて完成させた侵入生態系は、今後どの国に向かうのか。そしてその教訓を、日本はまだ生かせているだろうか。

参照・原文リンク