東南アジアの政府機関や外交関連組織を狙った高度なサイバースパイキャンペーンで、GoSerpentと呼ばれるバックドアが使用され、認証情報の窃取、文書の収集、ネットワーク共有を経由した静かなデータ持ち出しが行われていたことが分かりました。
研究者らによると、この活動は2025年後半に始まり、2026年5月に再び活発化したとされています。
この作戦では、カスタムマルウェア、オープンソースのリモートアクセスツール、認証情報ダンパー、そして検知を回避するローダーが組み合わされ、長期的な情報収集の連鎖を形成しています。
GoSerpentはGo言語で書かれたリモートアクセス型トロイの木馬(RAT)で、少なくとも2021年から活動していることが確認されています。最新版は、暗号化されBase64エンコードされたコマンドライン引数を受け取る仕組みになっており、その中にC2(コマンド&コントロール)の接続情報が含まれています。
設定情報の復号にはAES-CBCを、C2通信の保護にはChaCha20を使用しています。
このマルウェアは攻撃者への接続確認、リモートシェルの起動、ファイル転送、待ち受けポートの開放、リモートシステムへの接続などが可能です。
さらにSOCKS5プロキシを生成する機能も備えており、攻撃者は侵害した政府機関のマシンを経由して通信を行うことで、活動の発信元を隠すことができます。
攻撃者は「lass.exe」や「updates.exe」といった紛らわしいファイル名を使い、正規のWindowsプロセスに紛れ込ませていました。
また、GoSerpentと関連する、より簡素なツール「McMx」も展開していました。プロキシ機能、ポートフォワーディング、ファイル転送、シェル機能といった点はGoSerpentと似ていますが、C2の設定情報を平文の設定ファイルに保存する点が異なります。
侵入後、攻撃者は追加のツールをダウンロードするまで数日間待機していました。この遅延によって不審な挙動が目立ちにくくなり、侵害環境への長期的なアクセスを確立する助けになったとみられます。
最初の段階では文書の収集と認証情報の入手に重点が置かれていました。ThumbcacheServiceと呼ばれる悪意のあるDLLがWindowsサービスとしてインストールされ、.doc、.docx、.pdf、.xls、.xlsxといった拡張子を持つファイルをシステム内で検索していました。
このツールは収集したコンテンツを「C:\Users\Public\thumbcache_605a.db」に保存していました。また、Windowsの「$Recycle.Bin」ディレクトリも監視しており、削除された関心対象の文書も取得できるようになっていました。
収集したファイルは7-Zipでアーカイブ化され、パスワードで保護された上で、1アーカイブあたり20MBまでという制限が設けられていました。
GoSerpentはさらに、MimikatzとQuarksDumpLocalHashも配布していました。MimikatzはLSASSプロセスからキャッシュされた認証情報やKerberosチケットを含む認証情報を抽出できるツールです。
一方、QuarksDumpLocalHashはローカルのSAMレジストリハイブからパスワードハッシュを取得します。securelistによると、こうして窃取された認証情報は、その後ネットワーク共有へのアクセスやデータ窃取に利用されたとのことです。
2026年5月、攻撃者らはオープンソースのフレームワークを基にカスタマイズしたプロキシ・リモートアクセスツール「Stowaway」を導入しました。
StowawayはSOCKS5プロキシ、リバーストンネル、ポートフォワーディング、リモートシェル、ファイル転送、SSHトンネリングに対応しています。通信にはTCP、HTTP、WebSocketのいずれかのチャネルを使用でき、AES-256-GCMまたはTLSで保護されます。
Stowawayは、暗号化されたペイロード「TmcPayload」を含むC++製のサービス型ローダー「TmcLoader」を配布していました。
TmcLoaderはペイロードを復号し、svchost.exeのメモリ上にロードします。この手法により、攻撃者はファイルベースのセキュリティツールによる検知を回避しています。
注:誤ってアクセスしたりリンクが有効化されたりするのを防ぐため、IPアドレスやドメインは意図的にディフェング処理(例: [.])されています。再度有効な形式に戻す作業は、MISP、VirusTotal、SIEMなど管理された脅威インテリジェンス基盤内でのみ行ってください。
より強固なプロアクティブ防御で、重大インシデントや金銭的損失を未然に防ぎましょう。世界15,000のSOCから集めたライブ脅威フィードを導入する
翻訳元: https://cyberpress.org/goserpent-targets-southeast-asian-governments/