DomainTools Investigations は、中国語話者のユーザーを世界中で標的とする大規模なマルウェア配信ネットワークの拡大について、重要な調査結果を公開しました。
2023年6月から活動しているこの長期的なクラスターは、現在およそ 5,000 ドメイン規模に膨れ上がっており、研究者は 2025年5月から11月の間だけで 1,900 以上の新規ドメインを特定しました。
今回の最新調査は、防御側のサイバーセキュリティにおける重要なマイルストーンでもあり、エージェント型 AI システムが従来の手作業ベースのワークフローと比べて、分析速度を 10 倍に向上させることに成功したことを実証しました。
この「スーパー・クラスター」の背後にいる脅威アクターは、顕著な粘り強さと運用上の適応力を示しています。初期のキャンペーンでは、主に Alibaba Cloud Hong Kong 上に集約されたインフラに依存していましたが、最近の分析では、明確に分散化へとシフトしていることが判明しました。
2025年8月以降、オペレーターは集中型ホスティングから離れ、中国国内のレジストラとランダム化されたドメイン命名パターンを活用するようになっています。
この進化は、運用セキュリティ(OPSEC)を強化し、検知を回避するための計画的な試みです。
こうした試みにもかかわらず、このアクターは依然として特有の運用上の弱点を抱えており、研究者が個別のキャンペーン同士を関連付けることを可能にしています。
サービス指向アーキテクチャ(SOA)メールの繰り返しパターン、SEO 操作に用いられるトラッキング ID、そしてユニークな登録者名などにより、アナリストは新たに観測された 1,900 のドメインを、より大きなクラスターに結び付けることができました。
インフラは現在 5 か国にまたがり、8 つのユニークなレジストラを利用しており、2025年初頭に観測された 3 つのレジストラと比べて、複雑性が大幅に増しています。
エージェント型 AI が脅威ハンティングを一変させる
膨大な悪性インフラに対処するため、研究者たちは実験的な「エージェント型 AI」システムを導入しました。
標準的な自動スクリプトとは異なり、このシステムはオーケストレーション・エージェントと、コード解析やバイナリ取得などのタスクに特化したサブエージェントから成る二層構造を採用しています。
その結果は画期的でした。このAI システムは、従来であれば 200~400 件の手動調査に要していた時間で、1,900 以上のマルウェア配信サイトを処理しました。
一括処理テストでは、3 つの AI エージェントが約 10 時間で 2,000 ドメインを分析し、ドメインの複雑さに応じて 1~10 分の平均処理時間を達成しました。
このワークフローにより、アンチオートメーション用 JavaScript やボット検知メカニズムが大量に仕込まれたサイトに対しても、従来のスキャナーでは行き詰まりがちな深い分析を実施できました。
硬直したスクリプトに従う従来型の自動ツールとは異なり、このエージェント型システムは、脅威分析において適応的なインテリジェンスを発揮します。
AI エージェントは悪意あるコードの特定、ペイロードの取得、さらにはYARA ルールの自律生成にも成功し、大規模キャンペーンに対する防御の経済性を根本から変えつつあります。
標的型スプーフィング・キャンペーン
このクラスターは中国語話者の層に的を絞り、人気ソフトウェアを巧妙にスプーフィングしてトロイの木馬や認証情報窃取ツールを配布し続けています。
直近の 2,393 ドメインを分析したところ、コミュニケーションツールやVPN サービスに強く偏っていることが判明しており、インターネット制限を回避しようとするユーザーを狙っているとみられます。
マルウェアは、標準的なアンチウイルスのスキャン上限を回避するために、100~250MB の大容量ファイルとして配布されることが頻繁にあります。
翻訳元: https://gbhackers.com/ai-powered-analysis/
