公開から4年以上が経過した高度なバックドア「Daxin」が、多国籍ハイテク製造企業の台湾子会社を標的とした侵入活動の中で再び姿を現しました。
Symantecの脅威ハンティングチームは2026年5月、侵害されたWindowsホスト上でこのマルウェアを発見しました。同時に、これまで報告されていなかったDLLバックドア「Stupig」も確認されています。
Daxinの特徴は、通常のコマンド&コントロール通信を回避する点にあります。攻撃者のインフラに直接接続する代わりに、被害ネットワークにすでに到達している正規のTCP接続を乗っ取る仕組みです。
今回の発見は、Daxinに関連する中国とつながりのあるスパイ活動が、戦略的に重要なネットワークへの長期的なアクセスを、場合によっては数年にわたって維持し続けてきた可能性を示唆しています。
今回の調査ではさらに、新種のDLLバックドア「Stupig」も発見されました。当初はa.dllとして確認され、その後kbdus1.dllとしても見つかっています。コンパイルタイムスタンプは2013年2月で、Daxinのものとわずか数週間しか離れておらず、Symantecは開発手法にも類似点があると指摘しています。
ただし、研究者たちはコードレベルでの直接的な関連性は確認できておらず、両者が同一の運用者によるものかどうかは断定できていません。Stupigは、自身をWindowsのキーボードレイアウトプロバイダーとして登録することで永続化を図ります。
これにより、Windowsのカーネルコンポーネントであるwin32k.sysが、システム起動時にwinlogon.exe内へ悪意のあるDLLを読み込ませます。このDLLは有効なキーボードテーブル構造を提供するため、通常のキーボード機能はそのまま動作し続け、手動での点検時にも不審な挙動として気づかれにくくなっています。
winlogon.exeに侵入したStupigは、Windowsのログオン画面で「stupig」から始まるユーザー名が入力されるのを待ち受けます。
そのプレフィックス以降に入力されたテキストは、セキュアデスクトップ上でSYSTEM権限として実行されます。オペレーターが「stupig」のみを入力した場合、マルウェアはログオン画面から直接SYSTEM権限のコマンドプロンプトを起動します。
その後、このバックドアは正規のWindows認証機能を呼び出し、通常のログイン失敗という結果を生成します。そのため、防御側に残る痕跡は、見慣れないユーザー名によるログイン失敗という程度のものにとどまります。
Stupigはまた、SspiCli!LsaLogonUserおよびAdvapi32!CredUnprotectAをフックしており、winlogon.exeプロセス内での認証情報の傍受を可能にしている可能性があります。さらに、これに付随するペイロードとみられるmsyun.dllへの参照も確認されていますが、こちらは回収できていません。
5月28日にa.dllが検知された後、攻撃者ないしマルウェアの運用者は運用上のセキュリティ対策を調整したとみられます。6月1日には、StupigがSystem32ディレクトリ内でkbdus1.dllとして出現しました。
このファイル名は、正規のキーボードレイアウトライブラリであるkbdus.dllを巧妙に模倣したもので、文字を1つ追加しただけの違いしかありません。
今回の事例は、サポートが終了したインターネット公開ソフトウェアに潜むリスクを改めて浮き彫りにしています。不審なドライバーのインストール、キーボードレイアウトに関する不審なレジストリエントリ、winlogon.exeによって読み込まれるDLL、そして「stupig」から始まる予期しないログイン失敗の有無を調査することが重要です。
注: IPアドレスおよびドメインは、意図的に無害化表記(例: [.])にしてあります。誤って名前解決やハイパーリンク化されるのを防ぐためです。再度有効な形式に戻す作業は、MISP、VirusTotal、SIEMなど管理された脅威インテリジェンス基盤の中でのみ行ってください。
より強固なプロアクティブ防御で、重大インシデントと金銭的損失を防ぎましょう。15,000のSOCが利用するライブ脅威フィードを統合
翻訳元: https://cyberpress.org/daxin-hijacks-legitimate-tcp/