中国政府支援とされる脅威アクターUNC5174が、SNOWLIGHTおよびVShellを用いた高度なサイバー攻撃キャンペーンを展開しています。
VShellはWebSocket経由のC2通信とファイルレス実行を特徴とし、SNOWLIGHTはそのドロッパーとして機能します。
攻撃はLinux環境を中心に行われ、Sliverやcron、systemdによる永続化が確認されました。
Sysdigはこれらの攻撃に対応するFalcoルールとYARAルールを提供しており、VShellの活動検知やSNOWLIGHTの識別に役立ちます。
攻撃は現在も継続中とみられます。