中国と関連のあるDaxinバックドアが、多国籍ハイテク製造企業の台湾拠点子会社を狙った侵入活動の中で再出現しました。この事実は、2022年に初めて公にされたスパイ活動が今なお根強く続いていることを浮き彫りにしています。
Daxinの再登場が重要である理由は、このマルウェアがもともと、強固に防御されたネットワークへ長期間にわたって密かにアクセスするために作られた、極めて高度なインプラントとして位置づけられていたためです。
今回のインシデントでは、署名済みのWindowsカーネルドライバーとして動作し、%SystemRoot%\System32\drivers配下にsrt64.sysという名前で確認されています。これは2022年にSymantecが解析したバージョンと同一だったと報告されています。
一般的なバックドアが攻撃者の管理するインフラへ外向きに接続するのとは異なり、Daxinは特定のパターンを持つ受信TCPトラフィックを監視し、正規の接続を乗っ取ることで暗号化されたコマンド&コントロール(C2)チャネルを確立します。
ComputerSecurity
この設計により不審な外向き通信が減り、侵害されたホストを経由させることで、保護されたネットワークセグメントや隔離された環境内のシステムとも通信できるようになります。
新たに発見された連携インプラント「Backdoor.Stupig」は、認証前段階での独自のアクセス手法を導入しています。
a.dllとして配布され、後にkbdus1.dllとして検出されたこのマルウェアは、Windowsのキーボードレイアウトコンポーネントを装い、システム起動時にキーボードレイアウト登録のパスを通じてwinlogon.exeにロードされます。
このファイル名の変更が特に注目される理由は、kbdus1.dllがSystem32ディレクトリ内にある正規のキーボードレイアウトライブラリkbdus.dllと酷似しているためです。
Symantecによると、a.dllの検出を受けて5月28日にファイル名の調整が行われ、6月1日には代替ペイロードが確認されたとのことです。これは、運用上のセキュリティ対応、あるいは事前に仕込まれた予備インプラントである可能性を示唆しています。
Windowsのログオンプロセスにロードされると、Stupigは有効なKBDTABLESポインタを返すことで通常のキーボード機能を維持します。
しかし同時に、Windowsのサインイン画面でstupigから始まるユーザー名を監視しており、そのプレフィックスに続くテキストは、保護されたWinlogonデスクトップ上でSYSTEM権限として実行されます。
コマンドが続かない場合、このインプラントはユーザーの認証前にSYSTEM権限のコマンドプロンプトを起動することもできます。
GBhackersと共有されたレポートの中でSymantecは述べています。それによると、このカーネルモードのルートキットに加え、これまで文書化されていなかったWindowsバックドア「Backdoor.Stupig」が、2026年5月に確認されたとのことです。
この手法が特に懸念される理由は、ログオン画面からコマンド実行を可能にしながらも、通常の認証成功イベントのような目立つ痕跡ではなく、単なるログイン失敗という一般的な結果しか残さない点にあります。
SYSTEM権限で動作するSTUPIGマルウェア
StupigはさらにSspiCli!LsaLogonUserとAdvapi32!CredUnprotectAをフックしており、winlogon.exe内部で認証情報を傍受する能力を持つことが示唆されています。また、まだ確認されていない連携ペイロードmsyun.dllへの参照も含まれています。
SymantecはStupigとDaxinをコードレベルで明確に結び付ける証拠は見つけていません。とはいえ、両マルウェアの検体は同一ホスト上に共に展開されていたこと、機能が互いを補完し合っていること、さらにコンパイルのタイムスタンプがDaxinは2013年1月、Stupigは2013年2月とわずか数週間しか離れていないことから、両者が共通の運用元を持つ可能性が指摘されています。
被害を受けたシステムは2026年5月12日までテレメトリの報告を開始していなかったため、調査担当者はインプラントがいつ展開されたのかを特定できずにいます。
2013年というタイムスタンプ、この攻撃者グループが持つ長期潜伏の既知の手口、そしてそれ以前の可視性が存在しなかったことを踏まえると、この侵害は10年以上にわたり検知されないまま続いていた可能性があります。
調査担当者は、初期侵入経路として、サポート終了から長期間が経過したJava Development Kitのバージョン1.5および1.6を使用する、更新されていないDigiwinのシングルサインオン(SSO)ポータルが関与した可能性があるとみています。
Daxinが暗号化された制御通信を正規のTCPセッションに紛れ込ませる能力を持つことから、境界監視だけでなく、エンドポイントのテレメトリ、ドライバーの棚卸し、そして振る舞い検知が極めて重要な補完策となります。
ComputerSecurity
今回の発見は、特に戦略的に重要な製造業の環境において、メンテナンスされていないインターネット公開型の業務用ソフトウェアがもたらすリスクを改めて浮き彫りにしています。
防御側にとってこの事例が示す教訓は、従来型のネットワーク侵害指標にとどまらない調査の必要性です。具体的には、予期しないキーボードレイアウトDLLの登録を確認すること、winlogon.exeにロードされるモジュールを検証すること、システムディレクトリ内のドライバーを精査すること、そしてkbdus1.dllのような酷似したファイル名を調査することが求められます。
侵害指標(Indicators of Compromise)
ファイル指標
49c827cf48efb122a9d6fd87b426482b7496ccd4a2dbca31ebbf6b2b80c98530 – srt64.sys (Backdoor.Daxin)
5bb5cffda4647940919a185df37aab2aef71ca3010a6c1d05bdcc8bc8fb3af3f – a.dll / kbdus1.dll (Backdoor.Stupig)
注: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的に無効化表記(defang、例: [.])されています。再有効化(re-fang)は、MISP、VirusTotal、SIEMなど管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。
𝗔𝗜 𝗦𝗢𝗖 𝘃𝘀 𝗠𝗗𝗥 𝘃𝘀 𝗠𝗦𝗦𝗣 ― 2026年、どれが最適か? コスト、自動化、対応力を比較: 無料ガイドをダウンロード
翻訳元: https://gbhackers.com/stupig-system-level-malware/