著者
中国関連アクターに関連している疑いのある未文書化されたマルウェアインプラントがCato Networksのサイバー脅威研究ラボ(CTRL)の研究者によって特定されました。
彼らの発見は、2026年4月に複数の地域サイトを持つ名前のないグローバル製造顧客のインド支店に影響を与える侵入の試みに対応したときに行われました。
Cato CTRLチームは侵入をブロックすることに成功しましたが、顧客環境に接続されたサードパーティユーザーに関連する不審なトラフィックも特定しました。
攻撃チェーンは、最初段階のドロッパー、Donutシェルコード、偽装された.woffウェブフォントリソース、メモリ注入、およびウェブのようなコマンドアンドコントロール(C2)通信を使用しました。
その作戦は、オープンソースのRshell C2フレームワークから派生した、カスタマイズされたGoベースのインプラントでターゲットに感染させることを目的としていました。
クロスプラットフォーム攻撃的セキュリティ用途向けに設計された、元のRshellフレームワークには、リモートコマンド実行、ファイルおよびプロセス管理、ターミナルアクセス、インメモリペイロード実行、複数のC2トランスポート、およびAIエージェント通信と操作に特に使用されるモデルコンテキストプロトコル(MCP)サーバーが含まれています。
観察されたバージョンはRshellの未文書化バリアントであり、この作戦用にカスタマイズおよび再パッケージ化されており、「攻撃者のキャンペーンに、より適切にした通信と配信の変更」を備えています。研究者は5月13日のレポートで、キャンペーンについての技術的詳細を共有しながらこのように説明しています。
Cato CTRLはインプラントを「TencShell」と名付けました。シェルスタイルのリモートコントロール機能をTencent風のウェブサービスパスを模倣するC2通信と組み合わせているためです。
明らかなRshellの系統、Tencent風のAPIなりすまし、およびインフラストラクチャパターンに基づいて、Cato CTRLはこの作戦の背後にある脅威アクターが中国を拠点としているか、中国支援のハッキンググループに関連していると疑っています。しかし、彼らは証拠が属性化のための「それ自体では十分ではない」ことに注目しました。
成功した場合、TencShellは攻撃者にターゲット環境への包括的なアクセスを付与できたでしょう。これには、リモートコマンド実行、インメモリペイロード実行、プロキシ、ピボッティング、システムプロファイリング、および追加ツーリングを展開するパスが含まれます。
この作戦は、多くの攻撃者が現在適応可能なオープンソースツーリングに頼って洗練された侵入を実施でき、しばしばカスタムマルウェア開発パイプラインをもはや必要としないことを示しています。
「完全に新しいマルウェアファミリを構築するのではなく、攻撃者は利用可能な攻撃的ツーリングを適応させ、活動を通常のエンタープライズトラフィックに混ぜようとしました」と研究者は述べました。
翻訳元: https://www.infosecurity-magazine.com/news/china-hackers-tencshell-malware/
