CloudSEKのSTRIKEチームは、脅威アクター「RedLineCyber」によって組織された高度な暗号資産窃取オペレーションを発見しました。同アクターは、地下コミュニティ内での信頼性を確立するため、悪名高いRedLine Solutionsになりすますことを意図的に行っています。
包括的なシステムデータを収集するのではなく、このマルウェアは高度に標的化された手法を採用しています。すなわち、Windowsのクリップボードを継続的に監視して暗号資産ウォレットアドレスを検出し、ユーザーが貼り付けようとするまさにその瞬間に、攻撃者が管理するアドレスへと無音で置換します。
この外科手術のような手法により、検知されにくい状態を保ちながら攻撃効果を劇的に高めています。
脅威アクターは、ゲーム、ギャンブル、暗号資産ストリーミングに焦点を当てたDiscordコミュニティ内の信頼関係を悪用します。
2025年12月に実施された広範なHUMINT(人的情報)オペレーションを通じて、研究者は特定しました。Discordコミュニティを悪用してPro.exeを配布する標的型キャンペーンであり、Pro.exeはPythonベースのクリップボード・ハイジャック型トロイの木馬で、ユーザーの取引中にリアルタイムの暗号資産アドレスを置換することを目的に特化して設計されています。
配布は直接的なソーシャルエンジニアリングによって行われます。RedLineCyberは、悪性ペイロードを「クリップボード保護ツール」または「配信ユーティリティ」として持ち込む前に、潜在的な被害者、特に暗号資産ストリーマーやインフルエンサーと長期間にわたり関係を築きます。
インテリジェンス収集により、主に8つのDiscordコミュニティが積極的に標的化されていることが明らかになりました。これには、暗号資産ストリーミングプラットフォームやゲーム配信に特化したサーバーが含まれ、高頻度の暗号資産取引が行われています。
このコミュニティ重視のアプローチは非常に効果的であることが示されています。配信やギャンブル環境のスピード感は、ユーザーがソーシャルエンジニアリングに影響されやすい条件を生み出し、また暗号資産取引に共通の関心があることで、クリップボードハイジャックが最大の金銭的影響をもたらすコミュニティを特定できます。
技術アーキテクチャ
実用的な設計である一方、Pro.exeは中程度の技術的洗練性を示します。このマルウェアは、難読化されたPython 3.13バイトコードを含むPyInstaller 実行ファイルとしてパッケージ化され、ウォレット検出にbase64エンコードされた正規表現を使用し、WindowsレジストリのRunキーによる基本的な永続化を実装しています。
実行されると、マルウェアは %APPDATA%\CryptoClipboardGuard\ ディレクトリを作成し、自動起動エントリを確立して、システム再起動後も継続的にクリップボード監視を行えるようにします。
監視メカニズムは300ミリ秒のポーリングサイクル(およそ1秒あたり3回のチェック)で動作し、パフォーマンス起因のセキュリティアラートを回避するためCPU使用率を低く保ちながら、ほぼリアルタイムの検出を可能にします。
新しいクリップボード内容が検出されると、base64エンコードされた正規表現パターンにより、以下の表に示す6種類の暗号資産フォーマットにわたってウォレットアドレスを識別します。
| 暗号資産 | アドレスパターン | 検出方法 |
|---|---|---|
| ビットコイン(BTC) | bc1[a-zA-Z0-9]{39,59} | SegWit形式のマッチング |
| イーサリアム(ETH) | 0x[a-fA-F0-9]{40} | 16進エンコードのアドレス形式 |
| ソラナ(SOL) | [1-9A-HJ-NP-Za-km-z]{32,44} | Base58エンコーディングの検証 |
| ドージコイン(DOGE) | D[5-9A-HJ-NP-U][1-9A-HJ-NP-Za-km-z]{32} | プレフィックス付きBase58形式 |
| ライトコイン(LTC) | ltc1[a-zA-Z0-9]{39,59} | Bech32形式のマッチング |
| トロン(TRX) | T[A-Za-z1-9]{33} | TプレフィックスのBase58形式 |
ウォレットアドレスの検出に成功すると、マルウェアはクリップボードを対応する攻撃者管理アドレスで上書きし、activity.logにログを保持します。これにより、脅威アクターは感染成功を追跡し、窃取の有効性を監視できます。
回避と帰属
このマルウェアは、ネットワーク通信やデータ持ち出しを伴わない「クリップボード監視」という狭い運用目的により、極めて低い検知プロファイルを維持できます。
VirusTotalの分析では、69社中34社のアンチウイルスベンダーが当該サンプルを検知しており、検知分類はTrojan.ClipBankerからTrojan-Banker.Win32.ClipBankerまで幅があります。
特筆すべき点として、このマルウェアはC2(コマンド&コントロール)インフラを一切実装しておらず、ネットワークベースの検知ベクトルを完全に排除しています。
埋め込まれた攻撃者管理ウォレットに対するブロックチェーン分析により、複数の被害者からの侵害成功と金銭窃取が確認されました。RedLineCyberは暗号資産ごとに別々のウォレットを維持し、複数のブロックチェーンネットワークにまたがる取引を回収しています。
オープンソース・インテリジェンスの相関により、RedLineCyberが2025年10月にBreachStarsマーケットプレイスで4,200件超の盗難LinkedIn認証情報を宣伝していたことが特定され、リアルタイムの暗号資産窃取と従来型の認証情報収集を組み合わせた多角的な犯罪オペレーションであることが示唆されます。
侵害指標(IOCs)
| 指標タイプ | 値 | コンテキスト |
|---|---|---|
| SHA-256 | 0d6e83e240e41013a5ab6dfd847c689447755e8b162215866d7390c793694dc6 | 主要サンプル(Pro.exe / peeek.exe) |
| SHA-256 | d011068781cfba0955258505dbe7e5c7d3d0b955e7f7640d2f1019d425278087 | 野外で観測された関連ClipBanker亜種 |
| ファイルパス | %APPDATA%\CryptoClipboardGuard\activity.log | タイムスタンプ付きのクリップボード置換アクティビティログ |
| ディレクトリ | %APPDATA%\CryptoClipboardGuard\ | マルウェアが作成する永続化ディレクトリ |
翻訳元: https://gbhackers.com/discord-exploited/
