2025年秋、Arkanix Stealerという名の新興情報盗聴マルウェアがダークウェブの秘密市場に現れた。包括的な商業企業として宣伝され、洗練された管理ダッシュボード、専任の技術サポート、さらには構造化されたアフィリエイトプログラムを誇っていた。しかし、わずか1四半期で、プロジェクトは存在したことがないかのように急速に消え去ってしまった。
Arkanix Stealerの広告は2025年10月に複数の違法フォーラムで最初に現れた。それは「マルウェア・アズ・ア・サービス」(MaaS)モデルで販売されていた。顧客には有害な実行ファイルだけでなく、機能を調整し、新しいビルドを生成し、侵害されたホストからのテレメトリを監視するよう設計されたウェブベースのパネルへのアクセスも提供された。開発者とのコミュニケーションはDiscordサーバーを通じて調整され、正当な企業サポートフォーラムを模倣するよう綿密に整備されていた。
初期侵害の正確なベクトルは依然不明だが、steam_account_checker_pro_v1.pyやdiscord_nitro_checker.pyといったファイル名は、ゲームインセンティブを餌とするフィッシング戦略が強く示唆されている。被害者は通常、Pythonベースのローダーまたはスタンドアロンバイナリを実行するよう誘引され、その後、主な悪意のあるペイロードが取得された。AranixのPython版は動的モジュール性を備えており、起動時にローダーは必要なライブラリをインストールし、arkanix[.]pwサーバーとの接続を確立し、コマンドコンソール内で感染ノードを登録した後、コアデータ流出モジュールを展開した。
情報盗聴ツールのデータ収集機能は徹底的だった。OSバージョン、ハードウェア仕様、インストール済みのセキュリティソフトウェアなど、システムメタデータを綿密に分類しながら、独立したモジュールがホストの外部IPを精査してVPNや匿名化レイヤーの存在を判定していた。
ブラウザ悪用に特に力が注がれ、Google ChromeからTorまで、22の異なるアプリケーションへの対応が拡張された。このツールは閲覧履歴、保存された認証情報、HTTPクッキー、財務情報を流出させた。Chromiumベースのブラウザに関しては、認可トークンを特に対象とし、システム固有の復号化またはAESアルゴリズムを採用して、金融機関と暗号資産取引所に関連するキーワードを分離していた。
Arkanixはtelegramsプロセスを突然終了して、ユーザーディレクトリをアーカイブして流出させていた。Discordに関しては、二重脅迫作戦を実行した。アカウント認証情報を奪い、サービスの公式APIを利用して被害者の連絡先に悪意のあるリンクを伝播させた。さらに、マルウェアはホストのVPN設定、ゲームプラットフォーム認証情報、デスクトップまたはダウンロードディレクトリに存在する機密文書を探索した。motdepasseやbanqueといったフランス語キーワードを検索パラメータに含めることは、グローバルリーチへの野心を示唆している。
C++で開発された「プレミアム」版は、Windowsセキュリティメカニズムの抑制とAES-GCM経由の送信トラフィック暗号化を含む、強化された回避技法を提供していた。このバージョンはオープンソースのChromelevatorプロジェクトを組み込んでいたため、アクティブなブラウザプロセスに自身を注入することでマスターキーの流出を促進していた。
Cloudflareの背後にホストされていたインフラストラクチャは、arkanix[.]pwとarkanix[.]ruドメインに依存していた。2025年12月までに、管理パネルとDiscordハブの両方が事前通知なく運用を停止した。開発者が正当な企業行動を模倣していたにもかかわらず、機能アンケートを実施したり紹介ボーナスを提供したりしていたが、プロジェクトの急速な崩壊は、長期的な継続ではなく即座の違法利益を目的とした一時的なスキームであったことを示唆している。結局のところ、Arkanixは断片的なフォーラム広告と研究者のレポートに残された法医学的な痕跡しか残さなかった。
翻訳元: https://meterpreter.org/ghost-in-the-machine-the-rise-and-rapid-ruin-of-the-arkanix-stealer-empire/
