Millennium RATのバージョン4.*アップデートは、Malware-as-a-Service(MaaS)の配布・収益化における重大な転換点となっています。
2026年初頭までに世界で6万2,000件以上の感染が集中的に確認されており、このトロイの木馬の新たなC++アーキテクチャは.NETフレームワークへの依存を完全に排除し、事前インストールが不要な標準的なWindows環境での互換性を大幅に拡大しています。
Telegram Bot APIの継続的な悪用は、Millenium RATの成功を支える中核をなしており、耐障害性と匿名性を備えたコマンド&コントロール(C2)基盤として機能しています。
HTTPS経由でapi.telegram.orgを利用することで、マルウェアのトラフィックは正規のネットワーク通信に紛れ込み、従来のエンタープライズ向けフィルタリング機構を難なく回避します。
マシンへの侵害が成立すると、このトロイの木馬は多岐にわたるデータ窃取および制御操作を実行します。
持続性を維持するため、MillenniumはレジストリのRunキーを作成します。汎用的なシステムファイル名(例:svchost.exe、update1.exe)に偽装して実行中プロセスを照会し、アンチウイルスの防御機能を静かに無効化します。
場合によっては、ユーザーアカウント制御(UAC)の回避を試み、完全な管理者権限の取得を図ることもあります。
脅威グループ「Y2K Operators」は、巧妙に作成されたソーシャルエンジニアリング用ファイルを積極的に配布することで、被害者数を急速に拡大しています。
誘引手段はターゲットに応じて使い分けられており、海賊版ソフトウェア(「クラック」)、不正なハッキングツールキット(偽のSteamウォレットジェネレーターなど)、さらには他のサイバー犯罪者を狙ったトロイの木馬化されたビルダーなども利用されています。
これらの悪意あるZIPファイルや偽の実行ファイルは、バックグラウンドで静かにインストールを進めると同時に、デコイ文書を展開して被害者の注意をそらすこともあります。
Group-IBによると、このマルウェアの入手しやすさが特に危険な要因となっています。
Millennium RATは開発者「ShinyEnigma」によってアンダーグラウンドフォーラムやGitリポジトリで販売されており、月額わずか50ドル(または生涯ライセンス90ドル)で入手できるため、初心者のサイバー犯罪者にとっての参入障壁を大幅に下げています。
感染の集中地域はインド、米国、ブラジルで最も顕著であり、各組織に対してはエンドポイントの厳格な監視の実施、Telegram APIへの接続を試みる不審なPowerShellまたはcurl.exeプロセスの探索、そして認証情報の窃取を防ぐための多要素認証(MFA)の義務化が強く推奨されています。
翻訳元: https://cyberpress.org/millenium-rat-telegram-control/
