韓国の脅威アクター集団APT-C-06(より悪名高い呼称としてDarkHotel)は、2025年後半に確認された一連の侵入を通じて、その存在感を再び示した。6月の作戦的な活発化(DarkSealローダーの展開を優先)に続き、攻撃者は手法を再調整している。この新たなキャンペーンでは、年初の攻撃を想起させる別系統の悪性コンポーネント群が用いられ、主としてリムーバブル記憶媒体を介して拡散される。
360 Threat Intelligence Centerの調査結果によれば、侵害は、正規ソフトウェアを装った偽のインストール用バイナリを含むUSBデバイスが接続された時点で開始される。改ざんされた実行ファイルには、TrueCrypt、SanDisk、WinRAR、Adobe Reader、FlashFXPのインストーラーが含まれる。これらのバイナリは二重の役割を果たす。すなわち、正規ソフトウェアのインストールを実行すると同時に、RC Dataリソース内に埋め込まれた秘匿コードを呼び出す。通常、あるリソースには本物のアプリケーションが含まれ、別のリソースには暗号化されたシェルコードが隠されている。
インストール処理の途中で隠しファイルが生成されるが、環境にプロフェッショナル用途またはエンタープライズ級のシグネチャが存在しない場合に限り、悪性ペイロードは休眠状態のままとなる。具体的には、リモートアクセスサービスやAzure ADに関連するシステムディレクトリが検出されると、起動が抑止される。この選択的な実行は、強化されたセキュリティプロトコルで保護されたワークステーション上での精査を回避するための、計算された試みを示唆している。
シェルコードはDarkSealコンポーネントのアーキテクチャを踏襲しており、以前に文書化されたk1nqa.dllに類似する第2段階のダイナミックリンクライブラリ(DLL)の取得を指揮する。このインプラントは、コマンド&コントロール通信に用いる特定のURLを導出するため、システム上のアンチウイルスソフトを綿密に監査する。このテレメトリにより、PowerShellスクリプトが動的に生成され、その内容とファイルパスは、特定されたセキュリティソリューションに合わせて個別最適化される。
永続性を確保するため、マルウェアはWindowsタスクスケジューラにタスクを作成する。タスク作成の仕組みは適応的であり、既存のセキュリティソフトウェアに応じて、COMインターフェースを利用する場合もあれば、特権PowerShell実行に頼る場合もある。
この多層的かつ適応的な進化経路は、従来の検知を複雑化させる。それでも調査者は、戦術的な転換にもかかわらず、このキャンペーンが新規の革新ではなく、確立されたコンポーネントとレガシー技法に依拠している点を指摘している。これは、戦略的な連続性と、検証済み手法への継続的な依存を浮き彫りにする。キャンペーンの顕著な特徴として、USBドライブ上の感染ファイルは通常クラスター状に現れ、単一媒体上のすべてのインストーラーが侵害されていることが多い。現行サンプルには自己増殖機能は見られないが、専門家は、準備段階で複数のインストーラーが体系的に感染させられていると仮説を立てている。
これらの侵入の再燃は、DarkHotelが依然として古典的な戦術を洗練させ続け、標的を慎重に選別し、高度な環境を回避して作戦効果を最大化していることを強く想起させる。
翻訳元: https://meterpreter.org/the-return-of-the-usb-trap-darkhotels-new-2026-stealth-campaign/
