東南アジア各国の政府機関や外交関連組織を狙った高度なサイバースパイ活動が確認されました。攻撃者はGo言語で書かれたリモートアクセス型トロイの木馬「GoSerpent」を使い、機密文書を数週間にわたって収集した後、ネットワーク共有経由でデータを外部へ送信していました。
研究者がこの活動を最初に確認したのは2026年2月ですが、証拠を見る限り、実際の作戦開始は2025年後半だったとみられます。
攻撃者はまずGoSerpentを侵入の足がかりとして展開し、その後ファイル収集ツールや認証情報窃取ツールをインストールしました。
2026年5月には、攻撃者は進化したツールセットを引っさげて再び姿を現しました。今回はStowaway RATと、TmcLoaderおよびTmcPayloadという専用の外部送信チェーンを備えていました。
この作戦の特徴は、その周到さと各手法の緊密な連携にあります。攻撃者は盗んだデータを即座にコマンド&コントロール(C2)インフラへ送るのではなく、まずファイルをローカルに一時保存し、認証情報を収集したうえで、ネットワーク共有ドライブへのアクセス権を使ってアーカイブを転送するまで一定期間待機していました。
ComputerScience
このマルウェアはさらに、提供されたパスワードのSHA-256ハッシュから暗号鍵を導出し、ChaCha20を用いてC2通信を保護します。
このバックドアは、リモートシェルアクセス、ファイルのアップロードとダウンロード、ポートフォワーディング、リスニングサービス、SOCKS5プロキシの作成に対応しています。
SOCKS5機能により、攻撃者は侵害済みのシステムを経由して不正なトラフィックを迂回させることができます。これにより自らのインフラを隠蔽できるほか、接続先ネットワークへの横展開が可能になる場合もあります。
GoSerpentは追加のペイロードを展開するためのフレームワークとしても機能します。確認されたファイルの中には、監視の目を逃れるためにlass.exeやupdates.exeなど正規のプロセスになりすましたものもありました。
GBhackersと共有されたレポートの中でカスペルスキーが述べているところによると、GoSerpentはプロキシ機能を備えたGo言語ベースのRATであり、少なくとも2021年から活動していた可能性が高いとみられます。初期のバージョンではコマンドラインパラメータを平文で受け取っていましたが、最新版ではBase64エンコードとAES-CBC暗号化を施した引数を使用しています。
攻撃者はこのインプラントを使って、ThumbcacheService、Mimikatz、QuarksDumpLocalHashを展開しました。
GoSerpentによる政府機関のファイル窃取
ThumbcacheServiceは、Windowsのサービスとして登録される悪質なDLLです。システム内を検索し、.doc、.docx、.pdf、.xls、.xlsxといった拡張子のファイルを探し出します。これにはWindowsの「$Recycle.Bin」ディレクトリに削除済みとして残っている関連ファイルも含まれます。
マルウェアは収集した資料を「C:\Users\Public\thumbcache_605a.db」に保存した後、あらかじめ設定されたパスワードと20MBのアーカイブ上限を用いて7-Zipで圧縮します。
一方でMimikatzは、LSASSメモリに保存された認証情報やキャッシュされた認証データ、Kerberosチケットを標的にします。またQuarksDumpLocalHashは、WindowsのSAMデータベースからローカルアカウントのパスワードハッシュを抽出します。
これらの盗まれた認証情報は、後に続く外部送信フェーズの中核を担うことになります。
攻撃者は5月に、オープンソースのGo言語製プロキシ・RATフレームワークをカスタマイズしたStowawayを携えて再び現れました。
StowawayはSOCKS5プロキシに対応しているほか、リバーストンネル、リモートシェル、ファイル転送、SSHトンネル、そしてTCP・HTTP・WebSocketの各チャネルにまたがるポートフォワーディングに対応しています。通信にはAES-256-GCMまたはTLSによる保護を利用できます。
攻撃者はStowawayを経由して、C++で書かれたサービス型ローダーであるTmcLoaderと、{BBF061R2-BE25-4F6D-8B2D-1A6A39C3FSA2}.dbという名称の暗号化された設定ファイルを配信しました。
TmcLoaderは、埋め込まれたTmcPayloadを直接svchost.exeのメモリ上に復号します。これにより、従来のファイルベースの防御をすり抜けやすくなっています。
TmcPayloadは「C:\Users\Public\Libraries\」以下にある設定ファイルを繰り返し確認し、その暗号化された内容を使ってネットワーク共有の認証情報、転送先パス、対象アーカイブの保存場所を取得します。
ComputerDrives & Storage
重要な点として、このペイロードはthumbcache_605a.dbを明示的に参照しており、これにより最終的な転送処理が、数か月前にひそかに収集されていたファイル群と結びつくことになります。
攻撃者はC2インフラを、Alibaba CloudやUCLOUD HKといった正規のクラウドプラットフォーム上でホストしていました。
また研究者は、www.microsoft.com、www.spacex.com、github.codeといった正規のドメインが、埋め込み型の秘密鍵素材として利用されているのも確認しています。
帰属先の特定には至っていないものの、技術的な重なりや被害者の傾向、作戦上の挙動から見て、TetrisPhantomと疑われる脅威アクターとの関連が示唆されています。
政府機関のネットワークでは、不審なサービス、thumbcache_605a.dbという痕跡、ネットワーク共有への異常なアクセス、認証情報窃取の兆候、そして許可されていないSOCKS5利用やリバーストンネル動作の監視が求められます。
侵害指標(IOC)
| マルウェアファミリー | MD5ハッシュ |
|---|---|
| GoSerpent | EBFFD5A76AAA690BCDB922F82E0BACC5 |
| GoSerpent | DC506FF7BB72735444FB3703A6BEE6D8 |
| McMx | D6E86BF8A90E9B632ADD5FA495F97FBC |
| ThumbcacheService | CB6C4C70A3B171FA3404B8E1A3382116 |
| ThumbcacheService | 64E9D1950E42BC98486DFD9919463D1C |
| Stowaway | CBBB6D483737EA3566726E51752DFF40 |
| Stowaway | 7F223EE0716CE2AD56F55D3744419449 |
| Stowaway | 19F8BEFCB035F52BF70094E6B4F5779A |
| Stowaway | 846EF7C1C7323849B2A778C5E4CDA162 |
| TmcLoader | D08A059E8B815E3B891505BC8777FC28 |
| TmcLoader | 93A1569D5D5AB2C4761FEDF84F83709E |
注: IPアドレスおよびドメインは、誤って名前解決やリンク化されるのを防ぐため、意図的に無害化表記(例: [.])にしています。再度有効な形式に戻す作業は、MISP、VirusTotal、あるいはお使いのSIEMなど、管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。
𝗔𝗜 𝗦𝗢𝗖 𝘃𝘀 𝗠𝗗𝗥 𝘃𝘀 𝗠𝗦𝗦𝗣 2026年版、どちらが最適か? コスト、自動化、対応力を比較: 無料ガイドをダウンロード
翻訳元: https://gbhackers.com/goserpent-steals-government-files/