Sygnia社が2025年初頭から追跡している中国関連のサイバースパイ活動「Fire Ant」が、VMware ESXiおよびvCenter環境を標的とした攻撃を実施している。
同グループは2023年10月に開示されたCVE-2023-34048(CVSSスコア9.8クリティカル)、CVE-2023-20867(認証バイパス脆弱性)、および2022年5月に開示されたF5 BIG-IPの脆弱性CVE-2022-1388(CVSSスコア9.8クリティカル)を悪用して攻撃を行っている。
Fire Antは侵害されたvCenterインスタンスから認証クッキーを偽造してサービスアカウントの認証情報を取得、ESXiホストに管理者権限でアクセスし、システム再起動後も持続するバックドア「VIRTUALPITA」を設置する。そしてログを改ざんして脅威活動を難読化し、システムの再起動後も有効なバックドアを設置した。
Sygnia社の研究チームは、このキャンペーンがUNC3886との関連性を示唆するツールと技術を使用していると報告している。同社は2025年7月25日に調査結果を発表した。
From: 
‘Fire Ant’ Cyber Spies Compromise Siloed VMware Systems
【編集部解説】
このFire Antサイバースパイ活動は、現代のエンタープライズITインフラの中核を成す仮想化技術への攻撃として、極めて重要な警鐘を鳴らしています。攻撃者が標的としたVMware ESXiハイパーバイザーは、多くの企業でサーバー仮想化の基盤となっており、一度制御されれば、その上で動作するすべての仮想マシンが危険にさらされる構造的な問題があります。
特に注目すべきは、Fire Antが用いた「ハイパーバイザーレベルでの侵入」という高度な技術です。従来のセキュリティ対策は主にOS層やアプリケーション層を対象としていますが、Fire Antはそれよりも深いレイヤーである仮想化管理層を制御することで、従来の検出手法を回避することに成功しています。
Fire AntがUNC3886との関連性を示唆される点も重要です。UNC3886は開示前の約2年間、つまり2021年後半頃からCVE-2023-34048をゼロデイとして悪用していたことが確認されており、継続的な脅威活動の背景には組織的な支援があることを示しています。
攻撃の技術的な巧妙さは、複数の脆弱性を連鎖的に悪用する「キルチェーン」の構築にも現れています。CVE-2023-34048でvCenterに侵入後、CVE-2023-20867を使ってゲストVMに認証なしでアクセスし、さらにCVE-2022-1388でF5ロードバランサーを制御してネットワークセグメンテーションを突破する一連の流れは、標的環境への深い理解と綿密な計画を示しています。
特筆すべきは、この攻撃の発見プロセスです。Sygniaの研究者は、ゲストVM内の単独の悪意あるプロセスから調査を開始し、その親プロセスがVMware Toolsの一部であることを発見しました。この異常により、コマンドがゲスト内からではなくホストから注入されたことが判明し、より広範な攻撃キャンペーンの発見につながったのです。
この攻撃が企業に与える影響は深刻です。仮想化インフラが侵害されることで、機密データの窃取はもちろん、事業継続性そのものが脅かされる可能性があります。特に、攻撃者がシステム再起動後も持続するバックドアを設置している点は、完全な排除が困難であることを意味しています。
一方で、この事案は仮想化セキュリティの重要性を再認識させる機会でもあります。Sygniaが推奨する対策、すなわちESXiホストの適切なセグメンテーション、Normal Lockdown Modeの有効化、特権ID管理ソリューションの導入などは、多層防御の観点から有効です。
長期的な視点では、この攻撃は企業のITアーキテクチャ設計における根本的な見直しを促すものとなるでしょう。仮想化レイヤーへの可視性確保、ハイパーバイザー専用のセキュリティソリューション導入、そしてゼロトラストアーキテクチャの採用など、新たなセキュリティパラダイムへの転換が求められています。
【用語解説】
CVE-2023-34048
VMware vCenter ServerのDCE/RPCプロトコル実装における境界外書き込み脆弱性。CVSSv3.1スコア9.8の重要度「クリティカル」。リモートからの認証なしコード実行が可能で、中国系攻撃グループUNC3886により開示前の約2年間ゼロデイとして悪用されていた。
CVE-2023-20867
VMware Toolsの認証バイパス脆弱性。攻撃者がESXiホストから認証なしでゲスト仮想マシン内でコマンドを実行可能。UNC3886によって悪用が確認され、Mandiantが2023年に報告した。
CVE-2022-1388
F5 BIG-IPのiControl REST認証バイパス脆弱性。CVSSv3スコア9.8の「クリティカル」レベル。認証なしでの任意コード実行が可能となり、2022年5月に公表後、大量のスキャン活動や悪用が観測され、CISAの悪用確認脆弱性カタログ(KEV)に追加された。
Neo-reGeorg
HTTP(S)プロトコルベースのオープンソースWebシェルツール。reGeorgの改良版で、SOCKS5プロキシ機能を持つ。暗号化されたアプリケーション層トンネルを作成し、ネットワークセグメンテーションを回避する際に使用される。
UNC3886
Mandiantが追跡する中国関連のAPT(高度持続的脅威)グループ。VMware、Juniper、Fortinet製品の脆弱性を悪用し、ネットワークインフラ機器を標的とする。国防、通信、ITインフラを主な攻撃対象とし、ゼロデイ脆弱性の活用とカスタムマルウェア展開を特徴とする。
ESXiハイパーバイザー
VMware社が開発する仮想化プラットフォーム。物理サーバー上で複数の仮想マシンを実行管理する基盤ソフトウェア。企業のサーバー仮想化において広く採用されているため、攻撃者の重要な標的となっている。
vCenter Server
VMware ESXiホストと仮想マシンを一元管理するサーバー管理製品。複数のESXiホストを統合管理し、仮想インフラ全体の操作を可能にする中枢システム。
VIRTUALPITA
Fire Antが展開するバックドアマルウェアファミリー。ESXiホストとvCenter両方に配置され、システム再起動後も持続する機能を持つ。Python ベースの「autobackup.bin」も含まれ、リモートコマンド実行とファイル転送機能を提供する。
【参考リンク】
Sygnia公式サイト(外部)
イスラエルのサイバーセキュリティ企業。Fire Antキャンペーンの発見・分析を行った
SentinelOne Japan(外部)
AI搭載のエンドポイント検出・応答(EDR)プラットフォームを提供するセキュリティ企業
Neo-reGeorg GitHubプロジェクト(外部)
Fire Antがネットワークセグメンテーション突破に使用したトンネリングツール
VMware公式サイト(外部)
ESXiハイパーバイザーとvCenter Serverを開発・提供する仮想化技術企業
F5 Networks公式サイト(外部)
BIG-IPロードバランサーを開発、Fire AntがCVE-2022-1388を悪用した製品の開発元
【参考記事】
Fire Ant Exploits VMware Flaws to Compromise ESXi Hosts and vCenter Environments(外部)
VIRTUALPITAマルウェアやPythonベースのimplantの技術的詳細を解説
Sygnia uncovers Fire Ant espionage campaign targeting virtualization infrastructure with UNC3886 ties(外部)
Fire AntとUNC3886の関連性、中国語キーボード配列の痕跡について詳細分析
Prolonged Chinese Cyber Espionage Campaign Targets VMware Infrastructure(外部)
境界外書き込みによる認証なしリモートコード実行やWebシェル展開手法を解説
【編集部後記】
今回のFire Ant事案は、私たちが普段意識しない仮想化レイヤーの脆弱性を浮き彫りにしました。皆さんの組織でもVMware環境を使用されているかもしれません。この攻撃手法を知ることで、どのような対策が必要だと感じられましたか?また、ハイパーバイザーレベルでの侵入という概念について、従来のセキュリティ対策との違いをどう捉えられるでしょうか?特に、攻撃者が復旧作業中でも再侵入を繰り返す「適応的な持続性」という新たな脅威モデルは、従来のインシデント対応の考え方を根本から見直す必要があることを示しています。私たち編集部も、こうした高度な攻撃技術の進化を追いかけながら、読者の皆さんと一緒に学び続けたいと思っています。ぜひ皆さんの現場での経験や疑問をお聞かせください。
