WPS Office、Sogou、DeepSeekなどの人気ソフトウェアを宣伝する偽のウェブサイトを利用し、Sainbox RATおよびオープンソースのHidden rootkitを配布する新たなキャンペーンが確認されました。
この活動は、過去に同様の手口が確認されていることから、中国のハッカーグループSilver Fox(別名Void Arachne)によるものと中程度の確信をもって特定されています。
フィッシングサイト(”wpsice[.]com”)では、中国語の悪意あるMSIインストーラーが配布されており、このキャンペーンの標的が中国語話者であることを示しています。
「マルウェアのペイロードには、Gh0st RATの亜種であるSainbox RATと、オープンソースのHidden rootkitの亜種が含まれています」とNetskope Threat Labsの研究者Leandro Fróesが述べています。
この脅威アクターがこの手口を使うのは今回が初めてではありません。2024年7月には、eSentireが中国語話者のWindowsユーザーを標的に、偽のGoogle Chromeサイトを使ってGh0st RATを配布するキャンペーンを詳述しています。
さらに今年2月には、Morphisecがウェブブラウザを宣伝する偽サイトを利用して、Gh0st RATの別バージョンであるValleyRAT(別名Winos 4.0)を配布する別のキャンペーンを公開しました。
ValleyRATは、Proofpointによって2023年9月に初めて記録されており、このキャンペーンでも中国語話者を標的にSainbox RATやPurple Foxが使われていました。
Netskopeが確認した最新の攻撃では、ウェブサイトからダウンロードされる悪意あるMSIインストーラーが「shine.exe」という正規の実行ファイルを起動し、DLLサイドローディング手法を使って不正なDLL「libcef.dll」を読み込むよう設計されています。
このDLLの主な目的は、インストーラー内に存在するテキストファイル(「1.txt」)からシェルコードを抽出し、それを実行することで、最終的にSainboxと呼ばれるリモートアクセス型トロイの木馬の別のDLLペイロードを実行することです。
「分析したペイロードの.dataセクションには、マルウェアの設定によっては実行される可能性のある別のPEバイナリが含まれています」とFróesは説明しています。「埋め込まれているファイルは、オープンソースプロジェクトHiddenを基にしたrootkitドライバーです。」
Sainboxは追加のペイロードのダウンロードやデータ窃取機能を備えている一方、Hiddenは攻撃者に対して、感染したホスト上でマルウェア関連のプロセスやWindowsレジストリキーを隠すなど、ステルス性の高い機能を提供します。
「Gh0st RATのような一般的なRATの亜種や、Hiddenのようなオープンソースのカーネルrootkitを利用することで、攻撃者は多くのカスタム開発を必要とせずに、制御とステルス性を手に入れることができます」とNetskopeは述べています。
翻訳元: https://thehackernews.com/2025/06/chinese-group-silver-fox-uses-fake.html