EncryptHub(別名:LARVA-208、Water Gamayun)として知られる金銭目的の脅威アクターが、Web3開発者を標的とし、情報窃取型マルウェアに感染させる新たなキャンペーンを展開していることが判明しました。
「LARVA-208は戦術を進化させ、偽のAIプラットフォーム(例:Teampilotを模倣したNorlax AIなど)を使い、被害者を求人やポートフォリオレビューの依頼で誘い込んでいます」と、スイスのサイバーセキュリティ企業PRODAFTはThe Hacker Newsに寄せた声明で述べています。
同グループは過去にランサムウェアを展開した経歴がありますが、今回の調査結果は、戦術の進化と、暗号通貨ウォレットからデータを収集するスティーラーマルウェアを用いた収益化手法の多様化を示しています。
EncryptHubがWeb3開発者に注目するのは偶然ではありません。これらの人物はしばしば暗号通貨ウォレットやスマートコントラクトのリポジトリ、機密性の高いテスト環境へのアクセス権を管理しています。多くはフリーランスとして、または複数の分散型プロジェクトで活動しており、従来の企業向けセキュリティ制御では保護が困難です。このような分散型かつ高価値な開発者コミュニティは、中央集権的な防御を回避しつつ迅速に収益化を狙う攻撃者にとって理想的な標的となっています。
攻撃の流れは、標的となる開発者を偽の人工知能(AI)プラットフォームに誘導し、これらのサイト内で会議リンクをクリックさせるように仕向けるものです。
これらの会議リンクは、XやTelegramなどでWeb3やブロックチェーン関連のコンテンツをフォローしている開発者に対し、面接やポートフォリオの話し合いを装って送信されます。また、脅威アクターはWeb3向け求人掲示板「Remote3」に掲載した自らの求人に応募した人にも会議リンクを送っていることが判明しています。
興味深いのは、攻撃者がRemote3のサイトで発せられるセキュリティ警告を回避する手法です。サービス側が「見慣れないビデオ会議ソフトのダウンロードを求める求人に注意」と明示的に警告しているため、攻撃者は最初の会話をGoogle Meetで行い、その後応募者にNorlax AIで面接を再開するよう指示します。
どの手法であっても、被害者が会議リンクをクリックすると、メールアドレスと招待コードの入力を求められ、その後「オーディオドライバーが古い、または見つからない」という偽のエラーメッセージが表示されます。
このメッセージをクリックすると、本物のRealtek HD Audio Driverを装った悪意あるソフトウェアがダウンロードされ、PowerShellコマンドが実行されてFickle Stealerが取得・展開されます。スティーラーマルウェアによって収集された情報は、SilentPrismというコードネームの外部サーバーに送信されます。
「脅威アクターはFickleなどの情報窃取型マルウェアを偽のAIアプリケーション経由で配布し、暗号通貨ウォレット、開発用認証情報、機密プロジェクトデータの収集に成功しています」とPRODAFTは述べています。
「今回の最新の作戦は、貴重なデータや認証情報の持ち出し、それらの転売や不正市場での悪用など、代替的な収益化戦略へのシフトを示唆しています。」
この動きは、Trustwave SpiderLabsが新たなランサムウェア「KAWA4096」を詳細に分析したこととも重なります。このランサムウェアは「Akiraランサムウェアグループのスタイルや、Qilinに似た身代金要求書のフォーマットを踏襲しており、可視性や信頼性をさらに高めようとする試みとみられます。」
KAWA4096は2025年6月に初めて確認され、米国と日本に最も多くの標的が集中するなど、計11社が標的となったとされています。攻撃で用いられた初期侵入経路は不明です。
KAWA4096の注目すべき特徴は、共有ネットワークドライブ上のファイルを暗号化できる点と、マルチスレッド処理によって作業効率を高め、スキャンや暗号化のプロセスを高速化している点です。
「有効なファイルを特定すると、ランサムウェアはそれらを共有キューに追加します」と、セキュリティ研究者のNathaniel Morales氏とJohn Basmayor氏は述べています。「このキューはワーカースレッドのプールによって処理され、各スレッドがファイルパスを取得し暗号化ルーチンに渡します。スレッド間の同期にはセマフォが使われ、ファイルキューの効率的な処理が保証されています。」
ランサムウェアの新たな登場としてはCruxもあり、BlackByteグループの一員を自称し、2025年7月4日と13日に検知された3件の事例で実際に使用されています(Huntress調べ)。
このうちの1件では、脅威アクターがRDP経由で有効な認証情報を利用し、標的ネットワークへの足掛かりを得ていたことが判明しています。全ての攻撃に共通するのは、svchost.exeやbcdedit.exeといった正規のWindowsツールを使い、悪意あるコマンドの隠蔽やブート設定の変更によるシステム復旧の妨害が行われている点です。
「脅威アクターはbcdedit.exeやsvchost.exeといった正規プロセスを好んで利用していることが明らかです。こうしたプロセスの不審な挙動をエンドポイント検出&対応(EDR)で継続的に監視することで、環境内の脅威アクターの発見に役立ちます」とHuntressは述べています。
翻訳元: https://thehackernews.com/2025/07/encrypthub-targets-web3-developers.html