Paper Werewolf(GOFFEE としても追跡される)として知られる洗練されたロシア語系の脅威クラスターが、2026年3月~4月に、ロシアの産業、金融、運輸企業を標的とした新たな攻撃波を開始しました。
攻撃は PDF 添付ファイルを含むフィッシングメールから始まります。PDF 内に埋め込まれているのは、Adobe_Reader_RU.zip または Adobe_Reader.zip という名前の ZIP アーカイブを指す URL で、攻撃者が管理するインフラストラクチャ(hxxps://ntpluck[.]online)でホストされています。
被害者が PDF の「インストール更新」ボタンをクリックすると、アーカイブが自動的にダウンロードされます。
ZIP 内には Adobe_Acrobat_Reader_Plugin_ru.exe という実行ファイルが含まれており、Inno Setup を使用して作成されています。
インストーラーは正規の Adobe Acrobat プラグイン インストール プロセスを模倣し、説得力のあるインターフェースを備えていますが、疑いを避けるために、EchoGather RAT を無害な Requirement.pdf デコイドキュメントと一緒に静かに抽出して起動します。
デプロイされると、EchoGather はローカル IP アドレス、コンピュータ名、ユーザー名、プロセス ID、ファイルパスなどの重要なシステム詳細を収集し、このデータを ntpsum[.]online のコマンド & コントロール(C2)サーバーに HTTPS(POST メソッド)でポート 443 経由で流出させます。また、ファイルのアップロード/ダウンロードと cmd.exe 経由での攻撃者コマンド実行も可能です。
セキュリティ研究者の BI.ZONE が GBhackers と共有したレポートで述べたところによると、説得力のある偽の Adobe Reader インストーラーを特徴とする多段階キャンペーンで、EchoGather リモートアクセストロジャン(RAT)と新しく特定されたカスタムスティーラーおよび Mythic フレームワーク向けに構築された高度な後発悪用ツールが含まれています。
この最新バージョンでは、Paper Werewolf は注目すべき変更を加えました。脅威アクターは EchoGather の設定から明示的なプロキシ構成を削除し、「マジック」パラメータに置き換えました。
この値は、マルウェアが仮想化対策チェックを正常に通過した後にのみ djb2 ハッシュアルゴリズムを使用して計算され、C2 通信チャネルが確立される前に追加の回避レイヤーが追加されます。
Paper Werewolf APT
RAT キャンペーンと並行して、研究者は VB.NET で書かれた前例のないスティーラーを発見し、PaperGrabber と名付けられ、ntptop[.]online のインフラストラクチャに接続しています。
このマルウェアは、検出を回避しながら静かに動作するように設計された、高度な認証情報およびファイル盗難ツールです。
PaperGrabber は、ローカルドライブ、ネットワーク共有、リムーバブルメディアから PDF、Office ドキュメント、SSH キー、VPN 構成、暗号化証明書など、幅広い種類の機密ファイルを対象としています。
また、Telegram セッションデータ(tdata ディレクトリのコピー)も収集し、Windows DPAPI 復号化を使用して Chrome、Edge、Opera、Yandex Browser、Chromium などのブラウザから保存された認証情報を抽出します。
流出したすべてのデータは、C2 サーバーに HTTPS 経由で送信される前に 10 MB セグメントに分割され、アクティビティログは攻撃者が管理する Telegram ボットに報告されます。
Paper Werewolf の実行は、偽の yandex.exe(実際には Node.js インタプリタ)を完備した偽装 Node.js 環境を使用する JavaScript シェルコードダウンローダーもデプロイしました。
vain および vain1 JS コンポーネントは、Windows レジストリ(HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\LOAD)を通じて永続性を確立し、43~57 秒ごとに無限リトライループで hxxps://zeccecard[.]com からシェルコードをダウンロードします。
飛行学校の訓練申請フォーム(Форма заявки на обучение.exe)として偽装された独立した C++ ダウンローダーが 2026 年 4 月に検出されました。
arrotech[.]org からシェルコードペイロードをダウンロードする前に、ドライブシリアル番号と既知のサンドボックスユーザー名に対して仮想化対策チェックを実行し、被害者のユーザー名とホスト名をリクエスト URL に埋め込みます。
VBScript ベースの .NET アセンブリダウンローダーも、MSBuild を使用して woburneast[.]com から 30 秒ごとに取得したメモリ内 .NET ペイロードをロードして実行しているのが観察されました。
最も重要なのは、Paper Werewolf がカスタム Mythic 後発悪用インプラントの開発を続けていることです。
最新のシェルコードベースのインプラントは RSA-4096 鍵交換と AES セッション暗号化を使用して通信し、プロセスインジェクション、キーロギング、SOCKS プロキシトンネリング、レジストリ操作、スクリーンショットキャプチャ、BOF 実行など 30 以上のコマンドをサポートしています。
このレベルの技術的洗練さは、Paper Werewolf がロシア語系の脅威環境で現在活動している最も有能で運用成熟度の高い脅威アクターの 1 つであることを確認しています。
翻訳元: https://gbhackers.com/paper-werewolf-apt/
