ベトナムの脅威アクターがAIを活用して高度なフィッシングツールを作成し、偽の求人オファーを通じてPureRATマルウェアを配布するキャンペーンを展開している。
セキュリティ企業のTrend MicroとSymantecは、2025年12月に初めて確認されたこの攻撃を追跡している。
この作戦は、AIが初心者サイバー犯罪者の参入障壁を下げ、詳細なコードコメントや手順付きの説明を備えた複雑なマルウェアローダーを構築できるようにしていることを示している。
攻撃は、OPPO、Samsung、Duolingo、Henkelといった企業からの求人機会を装ったメールから始まる。
Trend Microによると、初期の亜種では悪意のあるZIPまたはRARの添付ファイルが使われていた。最近のSymantecのサンプルでは、Dropbox上にファイルをホストし、ダウンロードを促すリンクを掲載している。
ファイル名は正規の文書を模倣しており、「New_Remote_Marketing_Opportunity_OPPO_Find_X9_Series.zip」や「Duolingo_Marketing_Skills_Assessment_oct.rar」などがある。
被害者は就職につながる情報を期待して、これらを職場の端末で開いてしまう可能性が高い。広範な標的設定は諜報よりもサイバー犯罪を示唆しており、転売目的で企業アクセスを盗む狙いが考えられる。
アーカイブを開くとDLLサイドローディングが発動する。攻撃者はHaihaisoft PDF Reader、古いMicrosoft Excel、Foxit PDF Readerなどのツールを流用する。
実行ファイルは「Salary and Benefits Package.EXE」や「adobereader.exe」に偽装される。oledlg.dll、msimg32.dll、version.dll、profapi.dllといった名前の悪意あるDLLがバッチスクリプトを読み込む。
これらのスクリプトはAI生成であることを強く示している。ある例では%LOCALAPPDATA%\Google Chrome内に潜み、ローカルの「document.pdf」と「document.docx」を「huna.zip」と「huna.exe」にリネームし、パスワード「[email protected]」で展開して、http://196.251.86[.]145/huna2 からzvchost.exeのPythonペイロードを実行する。
さらに「ChromeUpdate」としてRunキーにより永続化し、囮のPDFを開いた後、元のファイルを復元する。「:: Tạo thư mục ẩn nếu chưa tồn tại」(存在しない場合は隠しフォルダを作成)といったベトナム語コメントや番号付き手順は、AIの特徴を示す。
HVNCペイロード向けのPythonローダーも同様で、番号付き手順(# === STEP 1: Base64 shellcode ===)、API定数、「#NHỚ dán shellcode base64 HVNC vào đây」(HVNCのbase64シェルコードをここに貼り付けることを忘れない)といった注記が含まれる。
これらは停止状態(suspended)のInstallUtil.exeプロセスにシェルコードを注入する。
インフラはローテーションしており、ハードコードされたIP、GitLab(gitlab[.]com/kimxhwan)、Dropbox、ginten555333[.]comのようなドメインが使われている。
手がかりはベトナムを指す:@dev.vnのパスワード(「[email protected]」「[email protected]」)、逆読みの「Hwanxkiem」(ハノイのホアンキエム地区)、そしてGitLabハンドル「kimxhwan」。「Huna」はファイルやパスワードに繰り返し登場し、アクターのハンドル名である可能性が高い。
このアクターはツールを迅速に改良し、PureRATやHVNCのようなペイロードを連鎖させている。広範囲にばらまくフィッシングは、地下市場で販売するためのネットワーク足場の獲得を狙っている。
これは新たな傾向とも一致する。Symantecの最近のホワイトペーパーでは AIが低スキル攻撃者のコーディングや自動化を支援していると指摘している。詳細なコメント、デバッグメッセージ、手順説明は、手作業で作られたマルウェアではほとんど見られない。
Symantecは、バッチスクリプト、DLL、ペイロード、そしてtext2pdf.exeのような無害な誘導ファイルのハッシュを列挙している。
Symantec Protection Bulletinを通じてエンドポイントを更新すること。Dropboxリンクをブロックし、アーカイブをスキャンし、%LOCALAPPDATA%\Google Chromeを監視し、スクリプト内のAI的なコメントに注意する。求人詐欺の危険信号についてユーザーを訓練する。
このキャンペーンはAIの二面性を浮き彫りにする。防御側にとっては革新の源である一方、脅威アクターにとっては犯罪を容易にする。誘導(ルアー)型フィッシングへの警戒は引き続き重要だ。
翻訳元: https://cyberpress.org/ai-job-offers-deploy-purerat/