2026年1月、日本の企業IIJのサイバーセキュリティ専門家がPlugXマルウェアの新しいバリエーションを傍受しました。このマルウェアは、標的型のサイバー攻撃で頻繁に使用される強力なツールです。その後の分析により、このキャンペーンとUNC6384シンジケート(中国のサイバースパイ活動と広く関連している組織)との潜在的な関連性が明らかになりました。UNC6384はMustang Pandaと緊密に連携して動作していると考えられており、東南アジア全域の政府機関への高度な侵入を組織化することで悪名高く、特に外交機関に重点を置いています。
この新型バリアントは、無害なブラウザ更新プログラムになりすました実行ファイルBrowser_Updater.exeを通じて拡散します。実行すると、プログラムは不正なインストールプロンプトを生成します。ただし、悪質な感染はユーザーの操作とは完全に独立して発生します。MSIファイルがリモートサーバーから密かにダウンロードされ、マルウェアの構成要素が%LOCALAPPDATA%\pZhozRディレクトリに埋め込まれます。同時に、G DATAアンチウイルススイートから派生した正当なAvk.exe実行ファイルが呼び出されます。その後、犯人たちは高度なライブラリ置換技術を採用します。DLLサイドロードを通じて、悪質なAvk.dllが密かに読み込まれ、プライマリペイロードの実行が引き起こされます。
このマルウェアの設計者たちはAPIハッシングを活用して、NtCreateFileやNtReadFileを含む重要なシステム機能を動的に解決しました。暗号化されたシェルコードはAVKTray.datファイル内に隠されており、システムの揮発性メモリ内で復号化されると、強力なPlugXプライマリペイロードが起動します。この複雑なアプローチは、静的分析手法を大きく混乱させ、検出の可能性を大幅に低下させます。
マルウェアの建築構成は.dataセクション内に存在し、RC4暗号を使用して強く暗号化されています。2025年12月より前に発見されたサンプルとは大きく異なり、この進化したバリエーションは暗号化フェーズの前に追加のパラメータエンコーディングレイヤーを導入しています。RC4暗号化キーは「VOphJokPpbbQ」という文字列から細心に作成され、最初の6文字のみが使用されます。
復号化とデコードの困難なプロセスを経て、調査員はコマンド・アンド・コントロールサーバーのアドレスfruitbrat[.]comを正常に抽出しました。より深い分析的精査により、このドメインから発せられた応答がIPアドレス108.165.255.97とシームレスに一致することが明らかになり、共生的なインフラストラクチャリンクを強く示唆しています。両ノードはポート443経由での着信接続を適切に受け入れます。
侵害されたホスト内に永遠に固定するために、マルウェアはそのファイルを%public%\GDataディレクトリに複製し、HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\G Dataでオートスタートレジストリキーを細心に作成します。さらに、設定内に「arp」という文字列が発見され、この特定のキャンペーンの秘密の名称として機能しているようです。
IJJは、PlugXの活動が前年から絶え間なく継続しており、その設計者たちが隠蔽メカニズムを絶えず改善していることを強調しています。Google脅威インテリジェンスグループが発表した以前文書化された武器との顕著な技術的一致を考慮すると、このキャンペーンはUNC6384シンジケートの確立された操作パラダイムと完全に一致しています。
