Arcane Werewolf(別名 Mythic Likho としても追跡)として知られるサイバー諜報グループが、独自マルウェアの新たな反復版を用いてロシアの製造業企業を標的にし、攻撃能力を大幅に強化した。
BI.ZONE Threat Intelligence のレポートによると、2025年10月および11月に観測されたキャンペーンでは、同グループが Loki 2.0 ローダーから、検知回避のために更新された配布メカニズムを用いる、より高度な Loki 2.1 亜種へ移行したことが明らかになった。
攻撃は、同グループの特徴的手法である、公式文書を装ったフィッシングメールから始まった。これらのメッセージには、正規のロシア製造業企業を精巧に模倣した偽装サイトへ被害者を誘導するリンクが含まれていた。
10月のキャンペーンでは、被害者は悪意のあるLNKファイルを含む ZIP アーカイブをダウンロードするよう騙された。実行されると、これらのファイルは PowerShell コマンドを起動し、画像ファイルに偽装した Go 製ドロッパーを取得した。
このドロッパーには二つの目的があった。ユーザーの注意をそらすために「送付通知 No. 7784」のような無害な囮PDFを開く一方で、背後では Loki 2.0 ローダーを静かに実行した。
このローダーは、基本的なホスト情報を収集し、AESで暗号化したうえでコマンド&コントロール(C2)サーバーへ送信し、追加ペイロードを待機するよう設計されていた。
しかし、脅威状況は2025年11月までに急速に変化した。BI.ZONE の研究者は、新しい C++ ドロッパーを含む攻撃チェーンへの移行を確認した。
この実行ファイルは、ペイロード抽出のために NtCreateFile や ZwWriteFile といった低レベルのシステムコールを利用していた。さらに重要なのは、このキャンペーンで Loki 2.1 が展開された点である。
従来のバージョンではローダーがC2サーバーからインプラントを取得する必要があったのに対し、Loki 2.1 ローダーはアップグレードされたインプラントを自らの設定内に直接埋め込んでいた。
これにより、初期感染フェーズにおけるネットワーク上のノイズと、外部取得への依存を減らしつつ、プロセスメモリ内でインプラントを復号して直接実行する。
ドロッパーは Base64 エンコードされた2つのペイロードを保持している:
chrome_proxy.pdf:PE32+ 実行ファイル(悪意のあるローダー)。09.2025.pdf:囮のPDF。
Loki 2.1 のインプラントは、Mythic や Havoc といった一般的なポストエクスプロイト・フレームワークとの互換性を維持しつつ、明確なアーキテクチャ変更を導入している。
主要な技術的差異はコマンド識別にある。Loki 2.0 がコマンドを djb2 ハッシュ値にマッピングしていたのに対し、Loki 2.1 は簡素化された序数番号システム(0~11)を使用する。
Loki 2.1 を通じて Arcane Werewolf が利用できる武器庫は広範だ。このツールキットにより攻撃者は次のことが可能になる:
- ファイル管理: ホストとC2サーバー間でデータをアップロード/ダウンロードする。
- コード実行: CreateProcessW でプロセスを起動する、またはターゲットプロセスへコード(DLLおよびシェルコード)をインジェクトする。
- 高度な操作: Beacon Object Files(BOF)を実行し、Windows アクセストークンを操作し、特定のプロセスを終了する。
- 永続化と回避: トラフィックを隠すためにスリープ間隔を変更し、終了コマンドで痕跡を消して処理をクリーンアップする。
Arcane Werewolf がブランドなりすましに依存し続けていることは、依然として重大な脅威要因である。主要な業界プレイヤーや規制当局のものに酷似したドメイン名を悪用することで、製造業セクターに内在する信頼を突いている。
同グループは技術的な手口を継続的に洗練させているため、組織は受信する連絡文書に含まれるドメインの微妙な不整合を精査することが推奨される。
翻訳元: https://gbhackers.com/loki-2-1-malware/
