C
月内に
中国に関連する新しい脅威グループ「Shadow-Earth-053」が、ポーランドやアジアの政府機関、防衛産業、技術企業などの重要ネットワークに侵入していること
📌 一言でいうと
中国に関連する新しい脅威グループ「Shadow-Earth-053」が、ポーランドやアジアの政府機関、防衛産業、技術企業などの重要ネットワークに侵入していることが判明しました。攻撃者は主に脆弱なMicrosoft Exchange Serverを初期侵入経路として利用し、潜伏期間を経てカスタムバックドア「ShadowPad」を配備します。特に、C2通信をスリープサイクルで運用し、検知を回避しながら長期的に潜伏する傾向があるため注意が必要です。
🏢影響範囲
ポーランドおよびアジア諸国の政府機関、防衛請負業者、テクノロジー企業、輸送業界
✅該当時の対応
Microsoft Exchange Serverの最新パッチ適用、不審な外部通信(特に不規則な間隔のC2通信)の監視、およびShadowPadに関連するインジケーターのハンティングを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】中国系APTグループ「Shadow-Earth-053」による攻撃活動について
お疲れさまです。新規に確認された中国系脅威アクターに関する情報共有です。
■ 概要
TrendAIの報告により、Shadow-Earth-053という新グループがポーランドやアジアの重要インフラを標的に活動していることが判明しました。脆弱なMicrosoft Exchange Serverを起点に侵入し、APT41等でも使用される「ShadowPad」バックドアを配備します。特にC2通信に長いスリープサイクルを組み込み、検知を回避する手法が特徴です。
■ 影響範囲
- Microsoft Exchange Serverを利用している組織
- 政府、防衛、技術、輸送セクター
■ 対応手順
1. Microsoft Exchange Serverに未適用のセキュリティパッチがないか確認し、速やかに適用すること。
2. ネットワークログにおいて、不規則な間隔で発生する外部への不審な通信(C2ビーコニング)がないか調査すること。
3. ShadowPadに関連する既知のIOCを用いてエンドポイントのスキャンを実施すること。
■ 参考情報
- TrendAI リサーチレポート
対応優先度: 高
対応期限: 速やかに確認
お疲れさまです。新規に確認された中国系脅威アクターに関する情報共有です。
■ 概要
TrendAIの報告により、Shadow-Earth-053という新グループがポーランドやアジアの重要インフラを標的に活動していることが判明しました。脆弱なMicrosoft Exchange Serverを起点に侵入し、APT41等でも使用される「ShadowPad」バックドアを配備します。特にC2通信に長いスリープサイクルを組み込み、検知を回避する手法が特徴です。
■ 影響範囲
- Microsoft Exchange Serverを利用している組織
- 政府、防衛、技術、輸送セクター
■ 対応手順
1. Microsoft Exchange Serverに未適用のセキュリティパッチがないか確認し、速やかに適用すること。
2. ネットワークログにおいて、不規則な間隔で発生する外部への不審な通信(C2ビーコニング)がないか調査すること。
3. ShadowPadに関連する既知のIOCを用いてエンドポイントのスキャンを実施すること。
■ 参考情報
- TrendAI リサーチレポート
対応優先度: 高
対応期限: 速やかに確認
Subject: [Threat Intel] Activity of China-linked APT Group "Shadow-Earth-053"
Dear Team,
We are sharing intelligence regarding a newly identified threat actor, Shadow-Earth-053.
■ Overview
TrendAI researchers have uncovered a novel China-linked group targeting critical networks in Poland and Asia. The attackers leverage vulnerabilities in Microsoft Exchange Servers for initial access and deploy the ShadowPad backdoor. A key characteristic of this campaign is the use of C2 communication on a 'sleep cycle' to maintain persistence while evading detection.
■ Scope
- Organizations utilizing Microsoft Exchange Servers
- Government, Defense, Technology, and Transportation sectors
■ Mitigation Steps
1. Ensure all Microsoft Exchange Servers are fully patched against known vulnerabilities.
2. Monitor network traffic for irregular, long-interval beaconing patterns indicative of sleep-cycle C2.
3. Conduct endpoint hunting for indicators associated with the ShadowPad backdoor.
■ Reference
- TrendAI Research Report
Priority: High
Deadline: Immediate review
Dear Team,
We are sharing intelligence regarding a newly identified threat actor, Shadow-Earth-053.
■ Overview
TrendAI researchers have uncovered a novel China-linked group targeting critical networks in Poland and Asia. The attackers leverage vulnerabilities in Microsoft Exchange Servers for initial access and deploy the ShadowPad backdoor. A key characteristic of this campaign is the use of C2 communication on a 'sleep cycle' to maintain persistence while evading detection.
■ Scope
- Organizations utilizing Microsoft Exchange Servers
- Government, Defense, Technology, and Transportation sectors
■ Mitigation Steps
1. Ensure all Microsoft Exchange Servers are fully patched against known vulnerabilities.
2. Monitor network traffic for irregular, long-interval beaconing patterns indicative of sleep-cycle C2.
3. Conduct endpoint hunting for indicators associated with the ShadowPad backdoor.
■ Reference
- TrendAI Research Report
Priority: High
Deadline: Immediate review