「OnyxC2」として販売される新たな商用グレードの情報窃取マルウェアが2026年初頭にサイバー犯罪フォーラムに登場し、コモディティマルウェアがいかにフルサービス型製品として提供されるようになっているかを示しています。
月額250ドルで、購入者はWebベースのコントロールパネル、ペイロードビルダー、段階的なライセンス体系、さらにビルドが検出された場合の返金保証まで受けられます。これにより、スキルの低い脅威アクターでも高インパクトな認証情報窃取を実行できるハードルが大幅に下がっています。
OnyxC2の製品化された性格は際立っています。販売ページに示されたパネルには、Bots・Logs・Builder・Users(ロール管理付き)・Settingsといった標準的なマルウェア管理ページが用意されており、クラウドストレージとAES-256によるビルド暗号化にも対応しています。
ビルダーはEXEまたはDLLスタブを出力でき、CloudflareフロンティングHTTPS、アンチVM検査、スケジュール済み自動実行、自己コピー、ローダー、署名済みOneDriveバイナリを利用したDLLサイドローディングなど、各種機能のオン・オフを切り替えられます。
デフォルトのバックエンドパスは/backend/api/app.phpであり、実際のサンプルのネットワークトラフィックもそのエンドポイントおよびプロトコルと完全に一致していることが確認されており、プロモーション用パネルと実際の展開が同一製品であることが裏付けられています。
BlackFogがGBhackersと共有したレポートによると、OnyxC2の中核機能は、ブラウザに保存された認証情報、パスワードマネージャーのデータ、二要素認証拡張機能、暗号通貨ウォレットを収集し、Cloudflareフロンティング型のコマンド&コントロール(C2)インフラへ暗号化チャネルを通じて送信することです。
入手したビルドの技術的分析から、回避と利便性を両立させた精巧な設計が明らかになっています。スタブはC++で実装されており、アセンブリレベルの直接システムコールを使用し、シグネチャベースの検出を妨げるためにビルドごとに変異します。
CloudflareフロンティングC2を利用するOnyxC2スティーラー
開発者は99%の回避率を主張しており、独立したテストでも、VirusTotalへの初期アップロード時に検出数が少なく、2026年5月30日時点でも悪意あるコンポーネントのほとんどがフラグを立てられていない状態が続いていることが確認されています。
配信には正規インストーラーに偽装したパスワード保護付きアーカイブが使用されており、各アーカイブには署名済みの正規ホスト実行ファイルと、ホストが期待するインポート名と同じ名前を持つ悪意あるDLLが含まれています。
このDLLは、本物のNVIDIAスタイルの大型ライブラリに暗号化されたペイロードブロブを追記する手法を利用しています。多くのスキャナーは非常に大きなファイルを無視するか、こうした多層構造のアーティファクト展開に苦労するため、初期段階での低検出率につながっています。
OnyxC2のターゲットリストは幅広く、コンシューマーと企業の両方の資産を標的としています。9つのカテゴリにわたって約210のターゲットを列挙しており、Chromiumベース37種・Geckoベース8種のブラウザ、Chromium拡張機能95種・Gecko拡張機能14種(2FA拡張機能6種を含む)、パスワードマネージャー5種、暗号通貨ウォレット17種、FTP・メールクライアント、VPN、リモートアクセス、メッセージング、メモ取り、ゲームアプリケーションが含まれます。
記録された一件の侵害では、感染ホストから55件の保存パスワード、4,717件のCookie、719件のオートフィルエントリ、2枚の支払いカード、そして暗号通貨ウォレットが窃取されており、このツールがパスワードリセットを回避してアカウント乗っ取りを可能にするセッション情報をいかに収集するかを示しています。
認証情報の窃取にとどまらず、OnyxC2にはリモートアクセスモジュールも備わっています。ブラウザ経由で提供されるHVNC、LSASSダンプ、RunPE(メモリ上およびディスク上)、リバースSOCKS5プロキシ、スクリーンショットキャプチャ、キーロギング、ファイル管理、HTTPリバースシェルなどが含まれます。
パネルには、販売説明文には記載されていないものの実際には搭載されている機能として、組み込みTORトンネルとAES-256暗号化ビルドダウンロードも確認されています。
署名済みホスト実行ファイルは、有効なAuthenticode署名を持つPE32+ Windowsバイナリであり、borlndmm.dllへの直接インポートを含んでいます。
感染ホストとC2の間の通信には、一貫したアクションベースのプロトコル(action=sync, poll, cfg, up_d)が使用されており、オペレーターごとのオーナートークンとbotversion文字列が含まれ、ライブネットワーク指標を宣伝されたサービスと紐付けています。
デリバリーチェーンとバイナリサイドローディング戦略により、OnyxC2は実用的な脅威となっています。署名済みで検出されていないホスト実行ファイルが、暗号化されたペイロード領域を隠した一見正規の大型DLLを読み込み、そのDLLはビルドごとに再生成されます。
サンドボックス実行により、ペイロードは実行時に復号化され、ブラウザと拡張機能のデータを収集・アップロードする前にCloudflareフロンティング型インフラへのビーコン送信を開始することが明らかになっています。
防御側は、Cloudflareがホストするドメインへの異常なアウトバウンドHTTPS、署名済み実行ファイルと並んで署名なしDLLを読み込む異常なプロセス、および特定の/backend/api/app.phpパターンの監視を優先すべきです。
大量のCookie、ウォレット、または2FA拡張機能の窃取に直面したインシデント対応者は、対象ホストを完全に侵害されたものとして扱い、横移動と認証情報の再利用を前提として対応する必要があります。
IoC(侵害の痕跡)
| タイプ | 値 |
| C2 / 配布ドメイン | akmuniverstall.top (13/94 VirusTotal) |
| C2エンドポイントパス | /backend/api/app.php |
| C2プロトコルアクション | sync, poll, cfg, up_d |
| C2パラメータ | hwid, ownertoken, botversion=2.0 |
| CloudflareフロンティングIP | 104.18.20.213, 104.21.46.39, 172.67.223.39 |
| 署名済みサイドロードホスト(SHA-256) | 41999a3d0da035ff8068905c90235ea50121329cb0661e38d745974ebf5e3ae2 (0/71, signed) |
| 悪意あるDLL 1(SHA-256) | 78945c844fc23dd3446cf17987edeeb6cc21986820c92df82a126af24a5a38d1 |
| 悪意あるDLL 2(SHA-256) | d89bb4b23a67814ef511e4e9dda7ad36fa519a322fa7c25ea451c7dd7ef61e54 |
| 配信アーカイブ(SHA-256) | f6e4b09ef788adef3f65fd2b99da8f5be5391be29471676dc07040a56c8fdfab |
| おとりファイル名 | Fling-Standalone*, FinePrint*, SystemSettings.exe, fake Windows update ZIPs |
| ビルダーバージョン | 3.0 |
| クライアントバージョン(実環境) | botversion=2.0 |
注意: IPアドレスとドメインは、誤った名前解決やハイパーリンクを防ぐため、意図的にdefang処理(例:[.])が施されています。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ、元の形式(refang)に戻してご使用ください。
翻訳元: https://gbhackers.com/onyxc2-stealer-uses-cloudflare-fronted-c2/
