Patchwork(Dropping ElephantおよびMaha Grassとしても知られる)と呼ばれるハッキンググループが、パキスタンの国防機関を狙った一連の標的型攻撃を受けて、再び注目を集めている。最新のキャンペーンでは、ZIPアーカイブを添付したフィッシングメールを用い、その中にMSBuildプロジェクトを隠していた。実行されると、このプロジェクトはローダーを起動し、Pythonベースのマルウェアを被害者のシステムにインストールする。
このマルウェアは、リモートサーバーへの接続、Pythonモジュールの実行、任意コマンドの実行、ファイル転送の実行が可能である。本キャンペーンを通じて攻撃者は、改変されたランタイム環境から秘匿通信チャネル、複数の永続化メカニズムに至るまで、周到に重ねられた難読化手法に依存していた。
2025年後半以降、このグループはStreamSpyと呼ばれる新たなトロイの木馬に関連付けられている。この未確認のマルウェアは、WebSocketとHTTPの両プロトコルを用いて、コマンド&コントロールとファイル転送の処理を分離している。指示はWebSocket経由で配信され、ファイルはHTTP経由で傍受・流出される。
中国のサイバーセキュリティ企業QiAnXinによる分析は、StreamSpyがSpyderとして知られる別のマルウェア系統と顕著な類似点を持つことを示している。Spyderは、SideWinderグループに関連付けられるWarHawkファミリーの改変版であると考えられている。PatchworkによるSpyderの使用は、2023年まで遡って観測されている。
StreamSpyは、「OPS-VII-SIR.zip」などの名称のアーカイブとして配布され、ドメインfirebasescloudemail[.]com上でホストされている。主要な実行ファイルであるAnnexure.exeはシステム情報を収集し、Windowsレジストリ、タスクスケジューラ、またはスタートアップフォルダに配置されたLNKファイルを介して永続化を確立できる。コマンドサーバーとの通信は、WebSocketとHTTPという2つの異なるチャネルで処理される。
このマルウェアの機能には、ファイルのダウンロードとオープン、複数のシェルを介したコマンド実行、ファイルシステムおよび接続ドライブに関する情報収集、ファイルの転送と削除、特定ディレクトリの内容列挙が含まれる。特定のコマンドは暗号化されたZIPアーカイブを取得して展開し、その内容を自動的に実行する。
QiAnXinはまた、データ収集機能を強化したSpyderの亜種が同一リソースから配布されていることも確認した。さらに、Annexure.exeのデジタル署名は、DoNotグループ(Brainwormとしても知られる)に帰属するとされる別のトロイの木馬ShadowAgentのものと重複している。早くも2025年11月には、360 Threat Intelligence Centerがこの実行ファイルをShadowAgentとして分類していた。
中国のアナリストによれば、StreamSpyの出現とSpyder亜種の進化は、Maha Grassがマルウェアの兵器庫を積極的に拡充していることを示している。StreamSpyにおけるWebSocketチャネルの使用は、トラフィックフィルタリングを回避し、コマンド活動を隠蔽する試みと解釈できる。さらに、これらサンプル間の類似性は、PatchworkとDoNotがツール、リソース、技術的知見を共有している可能性が高いことを示唆している。
