金銭目的で活動するロシア語話者の脅威アクター「UAT-11795」が、少なくとも2025年6月以降、大規模なキャンペーンを展開しています。
NetworkSecurity
今回確認されたのは、Pythonベースの高度なリモートアクセス型トロイの木馬「Starland RAT」と、メモリ内で動作するステルス性の高いPowerShell実装「WLDR agent」です。
この攻撃キャンペーンは米国と欧州の一部地域のユーザーを標的としており、主に認証情報の窃取と暗号資産ウォレットの情報収集に重点を置いています。
このキャンペーンの特徴は、モジュール式の多段階感染チェーンと、耐障害性に優れたコマンド&コントロール(C2)アーキテクチャにあります。
初期侵入はClickFix型のソーシャルエンジニアリングを介して行われます。被害者は悪意あるコマンドを実行するよう誘導され、mshta.exeを通じて武器化されたHTAファイルが起動します。
この段階で、Pythonランタイムと難読化されたローダーを同梱したトロイの木馬化インストーラーがドロップされます。ローダーは無害なLICENSE.txtファイルを装っており、改変されたNSISインストーラースクリプトを通じて実行されます。
起動されると、PythonローダーはXOR難読化(キー0xC6)を用いてStarland RATをメモリ上で直接復号・実行します。
このマルウェアはWindows環境向けに設計されており、ctypesを利用してVirtualAllocExやCreateRemoteThreadといったWin32 APIコールを動的に解決します。これにより、静的インポートを使わずにプロセスインジェクションと実行が可能になっています。
アンチ解析機能も備えており、WDAGUtilityAccountなど既知のサンドボックス用ユーザー名やホスト名、CuckooやAny.Runのような解析環境との照合を行い、制御された環境下では早期に処理を終了させます。
Starland RATはスケジュールタスク(PythonLauncher-{random})とスタートアップフォルダのショートカットを通じて永続化を図る一方、ShellExecuteWのrunas動詞を用いて権限昇格も試みます。
また、Get-CimInstanceやnltest /dclistといったコマンドを使い、HWID、RAM容量、アンチウイルス情報、Active Directoryの構成情報などを収集する広範な偵察活動も行います。
被害者のデスクトップのスクリーンショットも取得され、エンコードされた上でシステムプロファイリングデータとともに外部へ送信されます。
Starland RATの際立った特徴は、暗号資産の窃取に重点を置いている点です。このマルウェアは40種類以上のブラウザ拡張型およびデスクトップ型のウォレットアプリケーションを列挙し、検出結果を暗号化されたJSONペイロード(XORキー「helo1」)にまとめた上で、Chromeを装ったユーザーエージェントを使いHTTP POSTで送信します。
Cisco Talosが公表したUAT-11795は、少なくとも2026年6月以降、米国および欧州のユーザーを標的とした悪意ある活動を展開している、金銭目的のロシア語話者による高度な脅威アクターです。
完全な外部送信の前に、被害者のメタデータとウォレットの有無に関する情報は、攻撃者が管理するTelegramボット(skuefq_botやkomandastuk_botなど)へ送られ、侵害された資産の状況をリアルタイムで把握できるようになっています。

C2インフラは分散配置されており、正規のトラフィックに紛れ込むよう設計されています。eorthopaedics[.]comやsastoro[.]comといったドメインは、/feed/や/alpha/のような偽装パスの下にステージング用ペイロードをホストしている一方、web-devtools[.]comは生のシェルコードペイロードを配信します。
Starland RAT、ブラウザの認証情報を窃取
主要なRATのC2ノードにはwindowscreenrepairnearme[.]comとaipythondevs[.]comが含まれ、通信はディスクのボリュームシリアル番号から導出された被害者固有のHWIDと紐付けられています。
特筆すべき点として、この攻撃者はPolygonスマートコントラクト(0x6ae382ed2154cc84c6672e4e908cd2c69c1b35ba)を埋め込むことで、ブロックチェーンを利用したフォールバック機構による耐障害性を確保しています。

このRATは、polygon-rpc[.]comへのeth_callリクエストを介してXOR暗号化されたバックアップC2ドメインを取得し、主要インフラが停止した場合でも活動を継続できるようにしています。
侵害後の活動としては、.NET製の認証情報・暗号資産窃取ツールである「CastleStealer」や、持続的なリモートアクセスを可能にするRemcos RATといった二次ペイロードの配信が確認されています。
これと並行して、Talosは難読化されたステージャーチェーンを介して配信される、ファイルレス型PowerShell実装「WLDR agent」の展開も確認しています。
WLDRフレームワークは、暗号化されたビーコン通信、HWIDに紐付いたタスク割り当て、そしてRunspaceベースの実行エンジンを特徴としており、攻撃者が定義したモジュールをメモリ上で同時に実行できます。
インフラのテレメトリおよびパッシブDNSデータによると、感染の大部分は米国に集中しており、ドイツ、ルーマニア、ベネズエラでも追加の活動が確認されています。
MobaXterm、DBeaver、WebEx、Zoom、FACEITといった広く利用されているソフトウェアのトロイの木馬化インストーラーが使われていることから、企業・個人の両環境を標的とした日和見的かつ大規模な配布戦略がうかがえます。
Software
2025年6月に作成された「stuk komanda」という名の非公開Telegramチャンネルの発見は、UAT-11795の活動が高い運用成熟度を持つことをさらに裏付けており、これが秘匿されたC2やステージング拠点として利用されている可能性を示す証拠もあります。
多層的なペイロード配信、暗号資産を狙う機能、そして分散型のフォールバック機構を組み合わせたこの手口は、従来型と新興インフラの双方を活用した、金銭目的マルウェアキャンペーンの進化を示すものといえます。
𝗔𝗜 𝗦𝗢𝗖 𝘃𝘀 𝗠𝗗𝗥 𝘃𝘀 𝗠𝗦𝗦𝗣 2026年、どちらが最適か? コスト、自動化、対応力を比較: 無料ガイドをダウンロード
翻訳元: https://gbhackers.com/starland-rat-steals-browser-credentials/