新たに発覚したフィッシング作戦は、スペイン語話者のMicrosoft Outlookユーザーを標的とし、AI支援によるコード生成と、データ流出を容易にするためのTelegramおよびDiscordへのコマンド&コントロール(C2)チャネルの移行を用いています。
セキュリティ研究者は2025年3月頃にこのキットの最初の兆候を確認しましたが、分析が始まったのは8月でした。このキャンペーンは通称 Mycelial Mageと名付けられ、Microsoft Outlookのログインページを模倣し、ユーザーの認証情報に加えてIPおよび位置情報データを収集するよう構築されていました。
その後、URLScan検索によりこのシグネチャを持つ感染ドメインが数十件特定され、一貫した構造が明らかになりました。これは散発的な使い回しではなく、協調されたサービス型の運用であることを示唆しています。
初期の亜種では xjsx.jsというスクリプトが使用され、軽い難読化の後にオペレーターのTelegramボットトークンとチャットIDが保存されていました。
このモジュール型アプローチにより、攻撃者は中核となるフィッシングロジックを変更せずに認証情報をローテーションできました。キャンペーン はその後、tlgram.jsと呼ばれる強化版へと進化し、高度な解析妨害技術が導入されました。
これには、動的デバッガートラップ、コンソールのハイジャック、自己参照型の正規表現トリガーが含まれ、静的解析と実行時解析の双方を妨げるよう設計されていました。これは素人のスクリプトではなく、意図的なコード保護を示しています。
より最近の亜種(例:disBLOCK.js)では、Telegramベースの流出がDiscordのWebhookに置き換えられています。このバージョンでは、すべてのロジックがスペイン語で明確に文書化され、関数は正しく整形され、インデントも一貫しており、AI支援による開発を示唆しています。
TelegramからDiscordへの移行は、運用上のセキュリティも向上させました。Telegramボットは有効なトークンを持つ分析者にメッセージ履歴を露出しますが、DiscordのWebhookは一方向の「書き込み専用」チャネルとして機能し、防御側が盗まれたデータを閲覧したり再生したりできないようにします。
発見されたすべての亜種において、流出のワークフローは一定でした。盗まれた認証情報は api.ipify.org および ipapi.co から取得したメタデータで補強され、その後、菌類の絵文字マーカーを含む標準化された形式でHTTPS POSTリクエストにより送信されました。
このエコシステムは、古いマスクなしのバージョンからAI強化版の亜種まで、複数の運用ブランチを維持し、それらが継続的に流通しているように見えます。
これらの調査結果は、ますます一般的になっている傾向を浮き彫りにしています。すなわち、犯罪開発者がモジュール型フレームワーク、自動化、大規模言語モデルを採用し、フィッシング作戦を効率化しているということです。
攻撃者が使い捨てのインフラと短命な流出チャネルへと進化するにつれ、防御側は盗まれたデータをリアルタイムで追跡または遮断することが一層困難になっています。
翻訳元: https://cyberpress.org/ai-assisted-phishing-kit/