トレンドマイクロは2013年6月14日、同社のブログでインドやマレーシア、シンガポール、ベトナムの組織に標的型サイバー攻撃が行われていることを確認したと明らかにした。電気通信事業、石油・ガス事業、政府機関、メディアが狙われているという。攻撃者はアジア太平洋地域における外交関連協議に関連するメールを装って、偽の文書ファイルを添付する形で標的となる組織に不正プログラムを送り込んでいる。
この攻撃では、感染したコンピュータを遠隔操作するリモートアクセスツール(RAT)の一種である「RARSTONE」が使われている。このRATは検知しにくいことが特徴だ。バックドア型の不正プログラムの実行可能ファイルを作成せず、サーバーからダウンロードしたコンポーネントをメモリー上に直接展開する。これにより、ファイル検索技術を使ったウイルス対策を回避している。
このほか、RARSTONEは感染コンピュータ内で動作するアプリケーションのアンインストール方法を検知する機能を持つ。攻撃者がRARSTONEの動作を阻害するアプリケーションを発見した場合、遠隔操作でアンインストールする可能性があるという。加えて、攻撃サーバーとRARSTONEの間の通信をSSLで暗号化する。
トレンドマイクロのブログでは「明らかにセキュリティ専門家の調査をより困難にさせようとする意図が垣間見える」としている。攻撃の存在を隠蔽して、標的となる組織の機密情報を窃取している大規模な攻撃キャンペーンである可能性が高い。トレンドマイクロは一連の攻撃キャンペーンを「Naikon」と呼んでいる。
