「RockyBelling」というオンラインハンドルネームで知られる一人の開発者が、高度にモジュール化されたPhaaS/MaaSエコシステムを構築しています。このシステムを通じて、世界中のアフィリエイトがIRS(米国内国歳入庁)やSSA(社会保障局)をテーマにした精巧なフィッシングキャンペーンを展開し、主に米国の被害者を狙っています。
2025年4月から2026年4月にわたるSOCRadarの調査によると、約200名のアフィリエイトがこの商業的ツールキットに関与していることが明らかになっています。このツールキットは、高度なクローキング機能、柔軟なペイロードオプション、Telegramを通じたリアルタイムの被害者テレメトリー、そしてセルフホスト型のリモート管理パネルを組み合わせ、認証情報の窃取から持続的アクセスへの転換を可能にしています。
その中核をなすのは、販売・サポートが提供される製品スイートです。Adspectクローキング機能を内蔵したフィッシングキット、大量メール送信ツール(Rocky Gmail Sender)、認証情報収集パネル、侵害後に使用するPowerShellスクリプト、そしてアフィリエイトごとに割り当てられるセルフホスト型のScreenConnect RMMパネルが含まれています。
RockyBellingは「Rocky War Room」というTelegramチャンネルを運営しており、ショーフロント、サポートデスク、アナウンスフィードとして機能しています。
彼のGitLabアカウントにリンクされたコードやリポジトリのアーティファクト、埋め込まれたTelegramボットトークン、そして一致するインフラフィンガープリントを合わせると、このサービスを維持・更新する単一の開発者への帰属が裏付けられます。2026年4月にリリースされたUACバイパス付きのVisual Basic Script(VBS)ドロッパーもその更新の一つです。
このオペレーションの成功は、多層フィルタリングと精密な標的設定に依存しています。最初のチェックではWindows以外のUser-Agentをブロックし、クローラーと思われるアクセスには無害なページを返します。
Adspectによるクローキングは、訪問者のフィンガープリント(WebGL、タイムゾーン、タッチイベント、その他のテレメトリー)を解析し、人間のWindows利用者に一致するプロファイルにのみフィッシングページを表示します。URLフラグメントのランダム化と、訪問ごとに異なるダウンロードディレクトリにより、自動化された分析や静的ブロックリストの効果を無効化しています。
RockyBellingはRock、Rockky、Mikeとも呼ばれており、「Rocky War Room」というTelegramチャンネルを運営しています。分析時点でのチャンネル登録者数は194名で、犯罪サービスの製品カタログ、アナウンスチャンネル、サポートデスクとして機能しています。
被害者が巧みに作られたIRS、社会保障局、または信頼されたSaaSポータルに見せかけたルアーページにアクセスすると、フローは「Security Connector」のダウンロードを自然な形で促し、配信されたインストーラーの実行を当然のことのように見せかけます。
SOCRadarの脅威インテリジェンスチームはこのサイバー犯罪エコシステムを「The Quarry」と命名しており、少なくとも2025年4月から稼働しています。ペイロードの配信には正規のRMM(リモート管理)ソフトウェアが多用されており、アフィリエイトは通常、サイレントインストールと対話型リモートアクセスを提供するScreenConnect MSIまたはEXEを受け取ります。
調査期間中、アナリストは40を超える独自のScreenConnectパネルがカスタマイズされたインストーラーをホストしており、80以上のキャンペーンドメインが使用されていることを確認しました。
米国を標的とするQuarry PhaaSエコシステム
Telegramは軽量なC2/テレメトリーの基盤として機能しており、被害者のダウンロードイベント、IPアドレス、ユーザーエージェント、タイムスタンプ、直接ダウンロードリンクがリアルタイムでアフィリエイトのボットに投稿されます。
インデックスファイルから参照される、ランダムに生成された10文字のPHPファイルは、クローキング層として使用されるトラフィックフィルタリングサービスであるAdspectを使ったブラウザフィンガープリント処理を実行します。
このモバイルファーストの監視モデルにより、オペレーターは永続的なデスクトップインフラを必要とせず、被害者のトリアージと迅速な対応が可能になっています。
2026年4月、RockyはWebによる配信フェーズを完全に回避するVBSドロッパーを導入しました。
難読化されたスクリプトはUACプロンプトを通じて昇格した権限を要求し、GitHub/GitLabにホストされたScreenConnect MSIとともにデコイPDFをダウンロードします。その後、RMMをサイレントにインストール(/quiet ALLUSERS=2)し、信憑性を維持するためにデコイを開き、最後にフォレンジックの痕跡を消去するために自己削除を行います。
この代替経路により、オペレーターはフィッシングドメインへの依存度を下げることができ、受信者が添付ファイルを開いた場合の成功率が向上します。
侵害後のツールは米国の税務詐欺に特化しており、PowerShellスクリプトが6か月分のブラウザ履歴を抽出し、W-2ファイルの再帰的な検索を実行して、その結果をTelegramに送信します。
残りの割合には、他国からリモートワークをしている米国在住の従業員、米国での納税義務を持つ海外在住者、VPNサービスを使用するユーザーが含まれると考えられます。米国外の被害者が記録された国には、エジプト、ブラジル、ドイツ、日本、カナダが含まれています。
監視対象のボットから回収したログには、AWSの認証情報やその他の企業の機密情報が収集されていることも示されています。この犯罪エコシステムは転売もサポートしており、イニシャルアクセスブローカー(IAB)の活動や、認証情報・アクセス権のランサムウェアグループへの下流販売の可能性を示す証拠も確認されています。
検出と緩和のためには、防御側がこのオペレーションの技術的な特徴に注目する必要があります。具体的には、ドメイン間でのAdspect stream_idの再利用、特徴的なPHPファイル名(de.php、docs.php)、固有のペイロード命名規則、Webサーバーコードに埋め込まれたTelegramボットトークン、そしてScreenConnect JARMフィンガープリントが挙げられます。
組織は、既知の悪意あるドメインクラスターのブロック、疑わしいScreenConnectパネルへの発信接続の監視、企業ネットワークからのTelegram APIコールの制限またはログ記録、そしてメールの添付ファイルやマクロ/スクリプトの処理ポリシーの徹底を優先すべきです。
The Quarryは、単一の充実したサポート体制を持つ犯罪製品が、汎用リモート管理ツール、効果的なクローキング、そしてモバイルファーストのC2を組み合わせることで、多くの従来の検出メカニズムを回避しながらアフィリエイト活動を拡大できることを示しています。
公共・民間部門の防御担当者は、こうしたキャンペーンを個別のフィッシングインシデントとしてではなく、統一されたサービス主導型の脅威として捉え、このオペレーションが使い回す再利用可能なアーティファクトを積極的に追跡する必要があります。
ドメイン
estatetaxarchives.com
hub.ssa-guidance.com
inherittaxpapers.site
verify.federal-docviewer.com
portal.federalverify-ssaclientportal.com
trusttaxportal.com
estatetaxrecords.com
tax-filecenter-irs.matthewtarwater.com
apps.docu-sign.net
secure.login-socialsecurity.com
hub.ssa-userstatus.com
secure.ssa-documentsync.com
MD5ハッシュ
8974830446d35e234881696092aded87
ef970697c5094c443f0456774cfee9bc
935413b08ef60cd819b2e1b573fc9050
2163afa18a3cdfa525b767e0e1baaba1
1827aa636cd86d1a4064e112aa197303
00b69eb7f44b5987f68667343aaafb6a
01ab231bcd9533f90e99651521b6e1bb
注意: IPアドレスとドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的に無効化(例: [.])されています。MISP、VirusTotal、またはお使いのSIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ、元の形式に戻して使用してください。
翻訳元: https://gbhackers.com/quarry-phaas-ecosystem-to-target-u-s/
