NVIDIAソフトウェアになりすましてWindowsシステムへの侵害後活動を可能にする、Rust製の未検出リモートアクセスツール(RAT)「LabubaRAT」が、Blackpoint Cyberによって発見されました。
研究者らによると、LabubaRATは「再利用可能な足がかりとなる侵入拠点」を作り出すといいます。展開されると、ホストのプロファイリング、導入されているセキュリティツールの特定、オペレーターからのコマンド受信、ファイル転送、スクリーンショットの取得、さらには侵害したシステムを経由したネットワークトラフィックのプロキシ転送を行うことが可能です。
Blackpoint Cyberは、関連するコマンド&コントロール(C2)インフラ上で「LabubaPanel」というタイトルとLabubu(ラブブ)をテーマにしたファビコンを発見したことから、このマルウェアを「LabubaRAT」と命名しました。
再利用を前提に構築された設定
LabubaRATはインフラ情報をバイナリにハードコードするのではなく、起動時にコマンドライン引数、または対応する環境変数を通じて設定を受け取ります。
オペレーターは実行時にコマンド&コントロールサーバー、組織名、グループタグ、APIキーを指定できます。これらの値によって、マルウェアがインフラへ接続する方法や、新しいコマンドを確認する頻度が決まります。各パラメーターを個別に指定する代わりに、オペレーターはこれらをBase64エンコードした単一の設定ブロックにまとめてパッケージ化することも可能で、マルウェアは実行時にこれをデコードします。
「これらの値は起動時に与えられるため、同一のコンパイル済みバイナリを、ハードコードされたサーバーに依存することなく、異なるインフラ、組織、キャンペーングループで再利用できます」と研究者らは指摘しています。
コマンド&コントロールサーバーへの登録後、マルウェアはnvctr_sys.dbという名前のSQLiteデータベースにローカルの状態情報を保存し、HTTPSポーリング、Microsoft Edge WebView2、DNSトンネリングによる通信をサポートします。複数の通信経路を持つことで、一つのチャネルが利用できなくなった場合でも接続を維持できます。

このRATはHTTPS、WebView2、DNSベースの通信経路をサポートしていました(出典:Blackpoint Cyber)
フル機能を備えたリモートアクセスツールキット
サンプルの分析により、コマンド実行、PowerShellおよびJavaScriptの実行、スクリーンショットの取得、ファイルのアップロード/ダウンロード、アーカイブ処理、SOCKS5プロキシのサポートなど、包括的なリモートアクセス機能セットが明らかになりました。
このマルウェアはWindowsのRunレジストリキーを作成することで永続化を確立し、再起動後も自動的に起動できるようにします。
「これらの機能により、オペレーターはホストと十分にやり取りし、環境内外にファイルを移動させ、システム経由でトラフィックをルーティングし、独立したローダーや限定的な用途の追加ツールに頼ることなくアクセスを維持できます」と研究者らは付け加えています。
NVIDIAソフトウェアへの偽装
この攻撃チェーンの侵入口となるのは、nvidia-sysruntime.exeという名前の実行ファイルで、NVIDIAのコンテナランタイムツールキットになりすました未署名の64ビットバイナリです。
「そのバージョン情報にはNVIDIA Corporation、NVIDIA Container Runtime Monitor、NVIDIA Container Toolkitへの言及が含まれており、NVIDIAのテーマ性をさらに強めることで、一見するとNVIDIA製ソフトウェアのように見せかけていました」
オペレーターからのコマンドを受信する前に、LabubaRATはChrome、Firefox、Edge、Braveといった導入済みのブラウザを確認するほか、Windowsレジストリのアンインストールキーを通じて、Microsoft Defender、CrowdStrike、SentinelOne、Carbon Black、Sophos、Bitdefenderなど複数のエンドポイントセキュリティ製品をスキャンし、侵害したホストのプロファイリングを行います。
また、このマルウェアはホスト名、CPUおよびメモリの詳細、ドメイン所属情報、ユーザーアカウント制御(UAC)の状態も収集し、追加の操作を行う前に、オペレーターに環境の概要を提供します。
「LabubaRATは、単にNVIDIAの偽装メタデータを付与してリネームしただけのバイナリではありません。このサンプルは、実行時設定、ローカルの状態管理、ホストプロファイリング、複数の通信経路、そしてオペレーターによるタスク管理を組み合わせた、完全なリモートアクセスツールとなっています。この設計により、同一のコンパイル済みエージェントを異なるインフラに向け、異なるグループに割り当て、展開のたびに新たにビルドすることなく、パネルを介したワークフローで管理することが可能になっています」と研究者らは結論付けています。
このフレームワークのようなアーキテクチャは、LabubaRATが複数の作戦で再利用されることを前提に設計されたことを示唆していますが、Blackpointはこれをマルウェア・アズ・ア・サービス(MaaS)の提供物と断定するまでには至っていません。
同社は、防御担当者がLabubaRATの活動を識別・検知する助けとなるよう、侵害指標(IoC)を公開しています。
翻訳元: https://www.helpnetsecurity.com/2026/07/15/labubarat-rust-malware-nvidia-disguise/