- はじめに
本記事では、サイバーセキュリティにおける脅威動向の周知を目的に、弊社 Unit 42* Blog にて直近数カ月間(2026年4月執筆時点)で注目度の高かった内容について、概要をお届け致します。
トピックは以下の3つです。
- 国家支援型の脅威アクターが Notepad++ のサプライチェーンを悪用したキャンペーンについて
- LLM を活用してフィッシング用 JavaScript をリアルタイムで生成するランタイムアセンブリ攻撃について
- サイバー犯罪グループ Muddled Libra のプレイブックの詳細について
* Unit 42 とは、パロアルトネットワークス内の脅威インテリジェンスと知識を持つ専門家集団です。お客様に提供しているエンドポイント、ネットワーク、クラウドで検出された5,000億件/日のイベントを分析し、そのデータを脅威インテリジェンスとして活用し、脅威の分析・モデリング、脅威ハンティングなどの様々な活動を実施しています。
- 概要紹介
- 国家支援型の脅威アクターが Notepad++ のサプライチェーンを悪用したキャンペーンについて
国家支援型グループ「Lotus Blossom」が、Notepad++ の公式ホスティングインフラを侵害したキャンペーンです。
攻撃者は、正規のアップデート要求の通信を傍受する「Adversary-in-the-Middle(AitM)」機能を悪用し、標的ユーザーにのみ悪意のあるインストーラーを配信しました。
システムの破壊ではなく長期的な情報収集を目的としており、東南アジアの政府や重要インフラ部門などの高い権限を持つシステム管理者がピンポイントで狙われました。
- LLM を活用してフィッシング用 JavaScript をリアルタイムで生成するランタイムアセンブリ攻撃について
生成AI(LLM)を悪用し、被害者のブラウザ上でフィッシング用の JavaScript を実行時にリアルタイムで生成・組み立てる新たな攻撃手法です。
攻撃者は巧妙な指示出し(プロンプトエンジニアリング)で生成AI(LLM)のガードレールを突破しています。
生成されるコードはアクセスのたびに構文が変わる(ポリモーフィック)うえに、信頼できる LLM サービスのドメインから配信されるため、従来のシグネチャベースの検知やネットワーク分析を容易に回避しています。
- サイバー犯罪グループ Muddled Libra のプレイブックの詳細について
ソーシャルエンジニアリングを駆使するサイバー犯罪グループ「Muddled Libra」の、Unit 42によるインシデントアンドレスポンス調査から判明した手口(プレイブック)の実態です。
彼らはマルウェアの使用を最小限に抑え、標的環境の内部に自ら不正な仮想マシン(VM)を作成し、監視ツールを逃れるための足場として悪用していました。
この VM を起点に、正規ツールを使って数十分のうちに認証情報(NTDS.dit)の窃取やデータの持ち出し経路の探索を行うなど、環境に寄生して素早く潜行する大胆な行動が確認されています。
- 解説動画について
本記事にて取り上げているトピックについて、弊社のコンサルタントが対談形式の動画にて解説をしております。
対策を含めて、とてもわかりやすく解説されているためおすすめです。
- 詳細解説
それぞれのトピックの詳細については、Unit 42 Blog にてご確認頂けます。
- 国家支援型の脅威アクターが Notepad++ のサプライチェーンを悪用したキャンペーンについて:https://www.unit42.paloaltonetworks.com/ja/notepad-infrastructure-compromise/
- LLM を活用してフィッシング用 JavaScript をリアルタイムで生成するランタイムアセンブリ攻撃について:https://www.unit42.paloaltonetworks.com/ja/real-time-malicious-javascript-through-llms/
- サイバー犯罪グループ Muddled Libra のプレイブックの詳細について:https://unit42.paloaltonetworks.com/ja/muddled-libra-ops-playbook/
- さいごに
いかがでしたでしょうか。皆様のサイバーセキュリティにおける脅威動向の知識アップデートにお役立ていただければ幸いです。
今後とも、弊社 Unit 42 Blog では最新の脅威リサーチ・サイバー脅威・脅威アクターグループ・トレンドレポートをお届けしますので、ぜひチェックしてみてください!