中国語話者が、偽のソフトウェアサイトを使ってマルウェアを配布する検索エンジン最適化(SEO)ポイズニングキャンペーンの標的となっています。
「攻撃者はSEOプラグインを使って検索順位を操作し、正規のソフトウェアサイトに酷似したドメインを登録しました」とFortinet FortiGuard Labsの研究者Pei Han Liaoは述べています。「説得力のある言語や細かな文字の置き換えを用いて、被害者を偽装ページに誘導し、マルウェアをダウンロードさせていました。」
この活動はサイバーセキュリティ企業によって2025年8月に発見され、HiddenGh0stやWinos(別名ValleyRAT)などのマルウェアファミリーの展開につながっています。これらはどちらもリモートアクセス型トロイの木馬Gh0st RATの亜種です。
Winosの使用は、Silver Foxとして知られるサイバー犯罪グループに帰属されており、このグループはSwimSnake、The Great Thief of Valley(またはValley Thief)、UTG-Q-1000、Void Arachneとも呼ばれています。少なくとも2022年から活動していると考えられています。
Fortinetが記録した最新の攻撃チェーンでは、DeepL翻訳、Google Chrome、Signal、Telegram、WhatsApp、WPS OfficeなどのツールをGoogleで検索したユーザーが偽のサイトにリダイレクトされ、トロイの木馬化されたインストーラーを使ってマルウェアが配布されます。
「nice.jsというスクリプトがこれらのサイトでマルウェア配布プロセスを制御しています」とFortinetは説明しています。「このスクリプトは多段階のチェーンをたどり、最初にダウンロードリンクを呼び出してJSONデータを返し、その中に二次リンクが含まれています。その二次リンクがさらに別のJSONレスポンスを指し、最終的な悪意あるインストーラーのURLへリダイレクトします。」
インストーラー内には悪意のあるDLL(「EnumW.dll」)が含まれており、検出回避のために複数の解析回避チェックを実行します。これには、別のDLL(「vstdlib.dll」)を抽出してメモリ使用量を膨らませ、解析ツールのパフォーマンスを低下させることも含まれます。
2つ目のDLLはメインペイロードの展開と起動も担いますが、その前に感染したホストに360 Total Securityアンチウイルスソフトが存在するかを確認します。存在する場合、マルウェアはTypeLib COMハイジャックという手法を使って永続化を確立し、最終的にWindows実行ファイル(「insalivation.exe」)を起動します。
アンチウイルスソフトがホストにインストールされていない場合は、同じ実行ファイルを指すWindowsショートカットを作成することで永続化を達成します。感染の最終目的は、DLL(「AIDE.dll」)をサイドロードし、以下の3つの主要機能を実行することです。
- コマンド&コントロール(C2):リモートサーバーと通信し、暗号化形式でデータをやり取りする
- ハートビート:システムや被害者のデータを収集し、実行中のプロセスをハードコードされたセキュリティ製品リストと照合する
- モニター:被害者の環境を評価して永続化を確認し、ユーザーの活動を追跡し、C2サーバーへビーコンを送信する
C2モジュールは、追加プラグインのダウンロード、キーストロークやクリップボードデータの記録、さらにはEthereumやTetherに関連する暗号通貨ウォレットのハイジャックも可能なコマンドをサポートしています。特定されたプラグインの中には被害者の画面を監視できるものもあり、これらは以前からWinosフレームワークの一部として確認されています。
「インストーラーには正規のアプリケーションと悪意のあるペイロードの両方が含まれており、ユーザーが感染に気付きにくくなっています」とFortinetは述べています。「検索結果で上位に表示されるものですらこのように悪用されているため、ソフトウェアをダウンロードする前にドメイン名を慎重に確認することの重要性が強調されます。」
中国語話者を標的とした新たなkkRATを含むマルウェア三重奏#
この動きは、Zscaler ThreatLabzが別のキャンペーンも指摘しており、こちらも中国語話者を標的とし、2025年5月初旬から未公開のマルウェアkkRAT、Winos、FatalRATを用いています。
kkRATは「Gh0st RATおよびBig Bad Wolf(大灰狼、通常中国拠点のサイバー犯罪者が利用するRAT)とコードの類似性を持っています」とZscalerの研究者Muhammed Irfan V Aは述べています。
「kkRATはGhost RATに似たネットワーク通信プロトコルを採用し、データ圧縮後に暗号化レイヤーを追加しています。このRATの機能には、暗号通貨アドレスの置き換えのためのクリップボード操作や、リモート監視ツール(Sunlogin、GotoHTTPなど)の展開が含まれます。」
前述の活動と同様に、この攻撃キャンペーンもDingTalkなどの人気ソフトウェアを模倣した偽のインストーラーページを使い、3つのトロイの木馬を配布します。フィッシングサイトはGitHub Pages上にホストされており、攻撃者は正規プラットフォームへの信頼を悪用してマルウェアを配布しています。使用されたGitHubアカウントはすでに利用できなくなっています。
被害者がサイト上のインストーラーを起動すると、一連のチェックが実行され、サンドボックス環境や仮想マシン(VM)の特定、セキュリティソフトの回避が行われます。また、管理者権限を要求し、許可されるとすべてのネットワークアダプターを列挙して一時的に無効化し、アンチウイルスプログラムの通常動作を妨害します。
このマルウェアのもう一つの注目すべき点は、RealBlindingEDRオープンソースプロジェクトのコードを再利用し、ホストにインストールされたアンチウイルスソフトを無効化する「Bring Your Own Vulnerable Driver(BYOVD)」手法を用いていることです。マルウェアは特に以下の5つのプログラムを探します。
- 360 Internet Security suite
- 360 Total Security
- HeroBravo System Diagnostics suite
- Kingsoft Internet Security
- QQ电脑管家
関連するアンチウイルス関連プロセスが終了されると、マルウェアはSYSTEM権限でバッチスクリプトを実行するスケジュールタスクを作成し、ユーザーがマシンにログインするたびに自動的にこれらを終了させるようにします。
さらに、360 Total SecurityのWindowsレジストリエントリを変更し、ネットワークチェックを無効化することを目的としていると考えられます。これらすべての処理が完了すると、マルウェアはネットワークアダプターを再有効化してシステムのネットワーク接続を復元します。
インストーラーの主な役割はシェルコードを起動することであり、これがさらにハードコードされたURLから「2025.bin」という難読化された別のシェルコードファイルを起動します。この新たに取得されたシェルコードは、「output.log」というアーティファクトのダウンローダーとして機能し、さらに2つの異なるURLにアクセスして2つのZIPアーカイブを取得します。
- trx38.zip:正規の実行ファイルと、DLLサイドローディングで起動される悪意のあるDLLが含まれる
- p.zip:「longlq.cl」というファイルが含まれ、暗号化された最終ペイロードが格納されている
「マルウェアはtrx38.zipから抽出した正規実行ファイルのショートカットを作成し、永続化のためにスタートアップフォルダに追加、そして正規実行ファイルを実行して悪意のあるDLLをサイドロードします」とZscalerは述べています。「悪意のあるDLLはlonglq.clファイルから最終ペイロードを復号・実行します。キャンペーンの最終ペイロードは、ダウンロードされる2つ目のZIPアーカイブによって異なります。」
 |
| 複数のRATを配布するマルウェアキャンペーンの攻撃チェーン |
3つのペイロードのうちの1つがkkRATです。C2サーバーとソケット接続を確立した後、マルウェアは被害者マシンのプロファイリングを行い、さまざまなプラグインを取得して幅広いデータ収集タスクを実行します。
- 画面キャプチャやキーボード・マウス操作などのユーザー入力のシミュレーション
- クリップボードデータの取得および改変
- リモートデスクトップ機能の有効化(ウェブブラウザの起動やアクティブプロセスの終了など)
- シェルインターフェースによるリモートコマンド実行
- 画面上でのWindows管理機能
- アクティブプロセスの一覧表示や必要に応じた終了などのプロセスマネジメント機能
- アクティブなネットワーク接続のリスト生成
- インストール済みソフトウェアの一覧表示や特定ソフトのアンインストールなどのアプリケーション管理機能
- 自動起動レジストリキーに保存された値の列挙と取得
- SOCKS5プロトコルを用いたクライアントとサーバー間のデータ中継プロキシとしての機能
これらのプラグインに加え、kkRATはプラグイン呼び出し用の多数のコマンドをサポートし、クリッパーとしてクリップボードにコピーされた暗号通貨ウォレットアドレスの置き換え、永続化の設定、GotoHTTPやSunloginの展開、360スピードブラウザ、Google Chrome、Internet Explorer、Mozilla Firefox、QQブラウザ、Sogou Explorer、Skype、Telegramに関連するデータの消去なども可能です。
「kkRATのコマンドやプラグインは、クリップボードハイジャックによる暗号通貨ウォレットアドレスの置き換え、SunloginやGotoHTTPなどのRMMツールのインストール、ファイアウォールやVPNを回避するためのネットワークトラフィックの中継などの機能を可能にします」とZscalerは述べています。
翻訳元: https://thehackernews.com/2025/09/hiddengh0st-winos-and-kkrat-exploit-seo.html