AI生成のLinuxマイナー「Koske」、人間作成のマルウェアを凌駕

出典：Wirestock Inc.（Alamy Stock Photo経由）

新たに発見されたクリプトマイナーは、攻撃者が人工知能（AI）を使ってゼロからマルウェアを開発するだけでなく、人間が作成したマルウェアを超えるコードを生成していることを示唆しています。

最近、Aqua Nautilusの研究者がハニーポットで新しいLinuxマルウェアを捕捉し、「Koske」と名付けました。これはクリプトマイナーであり、感染したコンピュータの能力を特定し、MoneroやRavencoinを含む18種類の暗号通貨のいずれかを効率的に採掘するマイナーを実行するよう設計されています。

Aqua Nautilusの脅威インテリジェンスディレクターであるAssaf Morag氏によると、KoskeをAI検出ツールで解析したところ、ほぼ100%がAI生成であることが判明しました。コードをざっと見ただけでもその結論は明らかです。コードの各部分が何をしているかを説明するAI的なコメントが随所に挿入されており、コード自体の構造にも人工的な独特さが見られます。

そして、2025年にはAIマルウェアがもはや驚くべきものではなくなったものの、Koskeが際立っているのは、その高度さです。ある意味では、最高レベルの人間作成マルウェアを除けば、それ以上の高度さを持っています。

「防御側としては、これは衝撃的です」とMorag氏は語ります。「以前はスクリプトキディによる壊れたコードが多かったのですが、今はより良いコードが見られるようになり、攻撃者の成功率も上がるでしょう。」

AIによる初期感染

Koskeは、インターネットに公開されたサーバーの設定ミスを通じて被害者ネットワークに侵入するようです。例えば、Aqua NautilusはJupyterLabインスタンスを悪用した攻撃を観測しました。その正体を隠すため、短縮URLを使ったウェブサイトから配布されます。

さらに目立つのは、マルウェアがシステムに落とされる際に、AI生成のかわいいパンダの画像を使ってカモフラージュする点です。これはステガノグラフィではなく、正規のJPEG画像の末尾に悪意ある実行ファイルを付加してポリグロットファイルを作成する手法です。これらの画像は、ソーシャルエンジニアリングというよりも、セキュリティソフトウェアの検知を回避するためのもので、JPEGファイルは生の実行ファイルほどマルウェアが隠れていると疑われにくいのです。

この時点、つまりマルウェアが実行される前から、Morag氏はAIの影響を感じ取っています。配布手法が非常によく考えられており、人間の攻撃者にありがちな癖やミスが見られないため断定はできないものの、「攻撃全体の計画にAIが使われたと思います。恐ろしいことです」と述べています。

Koskeの仕組み

Koskeは、標的システムで永続性と隠蔽性を確立するために、何重ものトリックを使います。ルートキットのインストール、cronジョブのスケジューリング、Linuxの起動ファイルの改変などにより、システムが再起動しても必ず起動するようにします。

特に注目すべきは、Koskeがコマンド＆コントロール（C2）インフラとの接続を執拗に維持しようとする方法です。複数のツールを使ってアップデートやコマンドをチェックし、このプロセスが何らかの理由でブロックされても、人間の攻撃者が介入する必要はありません。代わりに、一連のトラブルシューティング手順（プロキシやDNS設定のリセット・変更、ファイアウォールルールの削除など）を自動で実行します。これらが失敗した場合、Koskeは自動的に他のプロキシ接続リストをウェブ上で探し出し、どれかが本拠地との再接続を許すまで総当たりで試みます。

「これを行うツールはあまり見たことがありません」とMorag氏は認めています。

このような機能は理論上、人間でも書けますが、著者には非常に優れたコーディング能力が必要だったと彼は言います。「多くのリソースについて知っていて、もし場所Xからダウンロードできなければ、どうやってプロキシを使うかを考え出す必要がありました。しかし今やAIのおかげで、この種のコードを作るハードルは非常に低くなりました。」

Morag氏は自身の経験から語ります。「ハニーポットを作るのは結構難しいんです。意図的に設定ミスや脆弱性を持たせたアプリケーションを作らなければならないので。AI以前はこの種のアプリを作るのに2週間かかっていましたが、今は1時間、2時間でできます」と語ります。彼の見立てでは、「私のハニーポット作成経験からすると、攻撃者たちもコードを完成させるのに2〜3時間しかかからなかったのでは」と推測しています。