この脅威アクターは、悪意のあるアーカイブを配布するために フィッシングキャンペーン に依存していました。これらのメールは通常、正規の組織や規制当局になりすまし、企業ロゴや文書風のファイル名を用いて信憑性を高めていました。
2025年10月、BI.ZONEは、フィッシングメールがLNKショートカットファイルと画像デコイを含むZIPアーカイブを配布するキャンペーンを追跡しました。
ダウンロード機能は PowerShell を呼び出し、conhost.exe を使用してファイルを取得して起動し、ユーザーの疑念を効果的に回避しました。
データはAESで暗号化され、Base64でエンコードされたうえで、文書リポジトリに偽装したC2サーバーへHTTPS経由で送信されました。
アップグレードされた Loki 2.1 ローダーは、インプラントをリモートで取得するだけでなく、ローカルに埋め込まれたインプラントも搭載していました。
このバージョンでは、従来の djb2ハッシュベース のコマンドマッピングが序数番号によるマッピングに置き換えられ、ファイルアップロード、プロセスインジェクション、トークン操作、システム探索といったC2コマンドの実行が簡素化されました。
CDN. electropriborzavod[.]ru にあるサーバーとの通信は AES で暗号化され、Base64でエンコードされていました。
アナリストは、EDRシステムや脅威インテリジェンス統合などの早期検知ツールが、産業組織がLokiのような進化する脅威に対抗するうえで役立つと強調しています。
翻訳元: https://cyberpress.org/arcane-werewolf-loki-2-1-malware/
ソース: cyberpress.org