ベトナムの脅威アクターが、AIが作成したコードを用いてPureRATマルウェアおよび関連ペイロードを配布するフィッシングキャンペーンを展開しており、現実味のある求人テーマの誘い文句を利用して企業システムを侵害しています。
このキャンペーンは、Trend Microが2025年12月に初めて文書化したもので、当初は求人機会の文書を装った悪意あるZIPおよびRAR添付ファイルを使用していました。
Symantecが観測したより最近の活動では、手口の進化が示されています。添付ファイルの代わりに、フィッシングメールが被害者をDropbox上にホストされたアーカイブのダウンロードへ誘導するようになっており、未知の送信者からの実行可能な添付ファイルをより積極的に検査またはブロックするメールセキュリティフィルターを回避する狙いがあるとみられます。
この活動は、AIが、熟練度の低いサイバー犯罪者でもプロフェッショナルに見えるツールを用いて攻撃チェーンを構築・自動化できるようにし、参入障壁を下げていることを浮き彫りにしています。
これらのメールは通常、マーケティング、プロジェクト管理、または戦略系の職種を装い、著名ブランド名や企業機能に合わせて調整されたファイル名を使用します。悪意あるアーカイブの例は次のとおりです。
New_Remote_Marketing_Opportunity_OPPO_Find_X9_Series.zipGlobal_Ads_Strategy_Role_Summary.zipOPPO_FindX9_New_Product_Promotion_Plan.zipAdvertising_and_Marketing_Henkel-AG_Smartwash.zipSAMSUNG_OLED_G5_Marketing_Dossier.zipDuolingo_Marketing_Skills_Assessment_oct.zip/.rar
これらのアーカイブを開くと、通常は悪意あるDLLをサイドロードする実行ファイルが含まれています。サイドローディングのホストとして正規ソフトウェアが悪用されており、Haihaisoft PDF Reader、古いバージョンのMicrosoft Excel、名称を変更したFoxit PDF Readerの亜種などが含まれます。
サイバー攻撃におけるAIの台頭
実行ファイルは、人事関連に見えるようにリネームされていることが多く、例えば Salary and Benefits Package.EXE、2.Salary-benefits-bonus-KPIs(Job responsibilities).exe、Duolingo_Marketing_Skills_Assessment_oct.exe などです。
関連するDLL(例:oledlg.dll、msimg32.dll、version.dll、profapi.dll)は、悪意あるバッチスクリプトのローダーとして機能します。
これらのバッチスクリプトは、AIの支援を強く示唆しています。解析されたあるスクリプトはベトナム語のコメントが大量に付されており、隠し %LOCALAPPDATA%\Google Chrome ディレクトリを作成し、無害な document.pdf と document.docx を huna.zip と huna.exe にリネームし、後者(同梱された7zip/WinRAR バイナリ)を使ってパスワード [email protected] で暗号化コンテンツを展開します。
その後、Pythonインタープリタ(zvchost.exe)をインラインコマンド付きで実行し、http://196.251.86[.]145/huna2 からBase64エンコードされたペイロードコードを取得してデコードし、実行します。
永続化は、Run レジストリキーまたはスケジュールタスク(例:123456.exe)を介して確立され、ChromeUpdate を装います。最後に無害なPDFを再度開き、通常の文書ワークフローであるかのような見せかけを維持します。
2つ目の「簡略化」されたバッチ亜種には、さらに明白なAIの痕跡が含まれています。手順のような構造、コメント内の絵文字風マーカー、そして整ったエラーハンドリングです。
AI駆動の悪意あるキャンペーン
同様に、HVNCペイロードを展開するために使用されるPythonローダーには、番号付きセクション、ベトナム語と英語による詳細なデバッグ出力、そして「base64エンコードされたHVNCシェルコードをここに貼り付けることを忘れないでください」といった攻撃者向けの明示的な指示が含まれています。
複数の指標が、この作戦をベトナムに結び付けています。[email protected]、[email protected]、[email protected] といったパスワードは、ベトナム人のオペレーターである可能性を示しており、「Hwanxkiem」はハノイのホアンキエム(Hoàn Kiếm)地区を想起させます。
GitLabプロフィール(gitlab[.]com/kimxhwan)や、そのハンドルを埋め込んだファイル名も、この帰属判断をさらに補強します。「Huna」という呼称はファイル名とパスワード全体で一貫して使用されており、アクターが選んだ別名である可能性があります。
標的とツールからは、スパイ活動というより金銭目的のサイバー犯罪が示唆されます。複数国の求職者を誘い、業務端末で悪意ある求人オファーを開かせることで、企業ネットワークへの初期アクセスを狙っているようです。
その後、PureRATおよびHVNCペイロードがリモート制御を可能にし、攻撃者は認証情報を窃取し、横展開し、最終的には犯罪マーケットプレイスで他の脅威アクターにアクセス権を販売できます。
このキャンペーンは、AI支援型サイバー犯罪のリスク拡大を浮き彫りにしています。AIは、より説得力のあるソーシャルエンジニアリングを可能にするだけでなく、比較的スキルの低いアクターでも高度なコードを生成し、複雑な感染チェーンを自動化し、ツールを迅速に反復できるよう支援しています。
組織は、未承諾の求人オファー、特に外部ファイルホスティングや実行可能な「文書」を伴うものを高リスクとして扱い、エンドポイント、メール、クラウドの各制御を、この種の挙動を検知できるよう調整すべきです。
翻訳元: https://gbhackers.com/purerat-malware/
