これまでほとんど知られていなかったLinuxバックドア「GhostPenguin」が、自動化された脅威ハンティングによって闇から浮かび上がった。Trend ResearchはAIを活用し、VirusTotal上の未検知サンプル数千件を分析した。その結果、すべてのアンチウイルス製品による検知を4カ月以上にわたり回避していた、これまで文書化されていなかったマルウェアを発見し、その設計、通信方式、アーキテクチャについて詳細な解析を行った。GhostPenguinの中核はマルチスレッドのC++製インプラントであり、リモート対話型シェル、ファイルシステムに対するほぼ完全な制御、そしてポート53上のRC5で暗号化されたUDPチャネルを介した堅牢なデータ交換機能を提供する。
GhostPenguinの開発者は、多段階のコマンド&コントロール(C&C)ハンドシェイクを実装している。バックドアはまずC&Cサーバーから16バイトのセッションIDを要求し、それをRC5鍵として使用し、ハンドシェイクが成功して初めてコマンドのやり取りに進む。このマルウェアは、ファイルの作成・削除・変更からリモートで/bin/shシェルを起動するものまで、数十種類の操作をサポートしている。また、UDP上で動作し、パケットロスを補うために独自の確認応答(ACK)システムを用いている。複数のスレッドが、ハートビート、コマンド受信とデータ流出、さらに未確認応答パケットの再送を並行して処理する。
GhostPenguinは、侵害したシステム上で「几帳面なテナント」のように振る舞う点も特徴的だ。ホームディレクトリに.tempロックファイルを作成して既存インスタンスの有無を確認し、重複が検出されると自ら終了する。広範な機能を備えているにもかかわらず、研究者は未公開のコード片、デバッグ用設定、未使用の永続化メカニズムを確認しており、開発が現在も継続中であることを示している。難読化、型破りな通信手法、低ノイズな挙動と相まって、これらの特性により、このマルウェアは分析そのものが自動化されるまで不可視の存在であり続けることができた。
Trend Researchは、GhostPenguinの発見が、アーティファクト収集、YARAおよびVirusTotalクエリ生成、IDA Proによる自動プロファイリング、CAPAおよびFLOSS解析、そしてAIエージェントであるQuick InspectとDeep Inspectorによる包括的評価から成る、多段階のAI駆動パイプラインによって可能になったと明らかにした。このアプローチにより、オープンソースコードにも既知のマルウェア系統にも依存しない、まったく新しい脅威ファミリーを体系的に検出できる。Trend Vision Oneは現在、GhostPenguin関連の侵害指標(IoC)を検知・ブロックし、顧客に対してハンティングクエリ、技術レポート、最新のインテリジェンスを提供している。
研究者らは、現代の脅威ハンティングは、自動化、人工知能、そして高度な人間の専門知識の融合なしにはもはや成り立たないと強調する。検知率の低いマルウェアは、解析が最も困難なカテゴリの一つであり、そのような脅威を膨大なテレメトリの海から切り出すには、ハイブリッドなアプローチだけが有効だとされる。
GhostPenguinの事例は、より広範なトレンドを示している。すなわち、マルウェア作者はパターンや再利用可能なライブラリを意図的に避け、ゼロから専用アーキテクチャを構築するケースが増えているということだ。防御側はそれに対抗するため、自動化のレベルを引き上げ、かすかな異常であっても検知できるツールを展開しなければならない。このようにして、GhostPenguinは「見えない」脅威であることをやめ、最も捉えどころのない敵対者でさえAIが照らし出せることを示す、説得力のある実例となったのである。
