📊 3行サマリー
- 英 Darktrace が、中国系APT「Mustang Panda」の手口と一致する侵入活動を2025年9月から2026年4月まで7カ月連続で観測。日本を含むアジア太平洋の金融機関ネットワークが標的。
- Yahoo・Apple の配信網(CDN)を偽装した不正サーバーから正規実行ファイルと悪意DLLを11日かけて配布し、信頼されたプロセス内でバックドアを起動。最終ペイロードは
FDMTPバージョン 3.2.5.1。 - 更新チャネル
icloud-cdn[.]netを5分ごとにポーリングし、ペイロードを差し替え続ける。日本の金融セキュリティ運用も、単発の通信痕跡ではなく振る舞い検知への移行が急務。
📝 中国系Mustang Panda、Yahoo・Apple偽装の配信網で日本の金融に7カ月の侵入活動
英国のサイバーセキュリティ企業 Darktrace が2026年5月14日、中国と関係の深い攻撃グループ「Mustang Panda」の手口と一致する月単位の諜報キャンペーンを観測した、と発表した。複数の顧客環境で2025年9月後半から、Yahoo や Apple の配信網を装った攻撃者のインフラへの通信が始まり、2026年4月まで活動が続いた。Darktrace は標的を「アジア太平洋および日本のネットワーク」と説明し、特に金融部門のケースを取り上げている。Mustang Panda は Twill Typhoon、Earth Preta、Stately Taurus、Bronze President、TA416 とも呼ばれ、中国の国家を背景に持つ古参の標的型攻撃グループとして長年知られてきた。
📰 Darktrace報告:偽装ドメインからFDMTPバックドア最新版を配布
元ネタ:Mustang Panda Linked to Updated FDMTP Backdoor in Asia-Pacific Espionage Campaign(Infosecurity Magazine / 2026-05-14)
一次資料は Darktrace の 解析レポート。
Multiple customer environments began making requests to attacker infrastructure impersonating well-known content delivery networks (CDNs) in late September 2025, with activity continuing through April 2026.
Darktrace は「攻撃者のインフラは Mustang Panda の公開された手口と一致する」と中程度の確度で評価しつつ、同手口が単一の攻撃者に固有のものではないとも釘を刺す。最終段階で展開されるバックドアは、難読化された .NET マルウェアで、内部的には FDMTP バージョン 3.2.5.1。FDMTP は2024年にトレンドマイクロが Mustang Panda の二次的な制御用ツールとして初めて文書化したもので、約2年で機能更新を重ねたことになる。
🔥 正規実行ファイル+悪意DLLの組み合わせで信頼プロセス内に潜伏
感染ホストは、攻撃者の偽 CDN ドメインから3点セットを取得する。正規の実行ファイル、それに付随する .config ファイル、そして本来とは異なる中身の悪意DLL。Darktrace が金融部門で観測した2026年4月の事例では、エンドポイントが vshost.exe や dfsvc.exe といった正規バイナリを引き寄せ、構成情報と DLL コンポーネントを11日間にわたり段階的に取得していた。
仕組みの肝は「DLLサイドローディング」。正規バイナリが期待するライブラリ名と同じ名前で悪意DLLを置くと、署名された信頼プロセスの内側でマルウェアが起動する。観測された別の例では、中国の入力方式エディタ Sogou Pinyin の正規バイナリ biz_render.exe に対し、悪意ある browser_host.dll が同じディレクトリに紛れ込まされていた。デコードされた文字列が .NET ランタイムをプロセス内に読み込み、次段のペイロードを直接メモリへ展開していく。
通信は、独自TCPで動く「Duplex Message Transport Protocol(DMTP)」と呼ばれる仕組みを使い、クラスタ単位のサーバー解決、トークン検証、永続的なメッセージループによる遠隔指示で構成される。プラグインは4種類が確認されている。スケジュールタスクの作成、レジストリへの永続化、フレームワーク本体の常駐化、そしてリモートからのファイル取得とプロセス操作。永続化先は HKCU\Software\Microsoft\IME 配下のスケジュールタスクとレジストリで、別途 icloud-cdn[.]net を5分間隔でポーリングし、新しいペイロードを差し替え続ける。
🇯🇵 日本の金融セキュリティ:5分ポーリングとSogou Pinyin偽装で監視設計の見直しが必要
Darktrace の報告で「アジア太平洋と日本」が標的範囲に名指しされ、金融セクターの実例が具体的に書き込まれたことは、日本のセキュリティ運用に2つの宿題を突きつけている。
1つ目は「短サイクル更新」を前提にした検知ロジックへの作り替え。icloud-cdn[.]net への5分ごとのポーリングは、単一インディケーター(IOC)ベースの遮断では追いつかない。Darktrace 自身が「インフラはローテーションし、ペイロードは入れ替わる。指標に依存した検知は急速に劣化する」と書く。ドメインIPやハッシュではなく、CDN風ドメインへの定間隔接続というふるまいを丸ごと監視対象にする必要がある。
2つ目は「正規プロセスの内側で動くDLLサイドローディング」への備え。日本企業でも、中国語入力のため Sogou Pinyin を業務PCに残しているケースは、中国市場担当やゲーム翻訳、製造業の現地法人と本社の橋渡し職などで少なくない。biz_render.exe のような署名済バイナリ+同名DLLという組み合わせは、エンドポイント保護製品の許可リストをすり抜けやすい。vshost.exe・dfsvc.exe のような Visual Studio・.NET ClickOnce 由来のホストプロセスも、開発者端末や運用ジョブで普通に出現する。起動親プロセスや組み合わさるDLLの取得元まで含めたコンテキスト評価が要る。
警察庁は2025年8月、中国系の「Salt Typhoon」を含む国際共同アドバイザリーに署名し、政府ネットワークと重要インフラに対する警告を出した。Mustang Panda はそれ以前から日本の外務省・防衛省・JAXAなどを標的にしてきた APT10 の系譜にある。今回の Darktrace 報告は、その「政府・防衛」向けの脅威が、より広範な金融セクターのエンドポイントまで実際に伸びてきた具体例だ。
🏁 単発の通信痕跡では追えない——振る舞いに基づく検知への転換が急務
2026年4月までの観測でつかめたのは「7カ月続いた連続活動」「11日にわたる多段取得」「5分間隔の更新ポーリング」という時間軸の特徴だった。Darktrace が出した結論はシンプルで、「インフラとペイロードは変わり続ける。だから検知は振る舞いの連鎖に錨を下ろせ」。日本の金融機関にとって、これは1つの侵害事例の話に留まらない。過去数年そのままになっていた IOC リスト型の運用を、本気で振る舞いベースに作り直す期限が引かれた、ということだ。
