時に、悪質なキャンペーンは複雑なコードではなく、ほんの小さな詳細によって露見することがあります。MuddyWater シンジケートの初期の仕掛けの中で、この重要な手がかりは、Telegram ボットの命名法として現れました。
Synaptic の研究者たちは、LampoRAT マルウェアのサンプルを綿密に分析しました。これは過去に記録された建築様式です。このマルウェアはリモートアクセストロイの木馬として機能し、完全に Telegram を通じてコントロールされます。システムは最初に感染した後、事前に決定されたボットトークンに接続され、オペレーターからのコマンドを取得し、Windows コマンドラインで実行し、結果を同じ通信チャネルを通じて送り返します。この隠蔽された通信チャネルは、通常の暗号化された Telegram トラフィックに見せかけるため、正当なデジタル通信と区別がほぼ不可能になります。
特に注目されたのは、単一のボットの名称です:stager_51_bot。サイバー攻撃ツールの用語では、「stager」は通常、初期段階のモジュール、つまりシステムに潜入してその後追加の悪意あるコンポーネントをダウンロードする先導役を指します。このニックネームに組み込まれた数値「51」は、連番的な管理票のはっきりした特徴を示していました。
その後、分析者たちは簡潔な仮説を実験的にテストしました。stager_X_bot というテンプレートを使用して、1 から 100 までの値を体系的に試し、どの名称がすでに使用されているかを綿密に確認しました。この作業は Telegram API へのアクセスさえ必要としませんでした。メッセンジャーの公開ウェブインターフェースが既存のボット名を透明に表示しており、それで十分でした。
その結果、この調査は似た名称を持つ多数のボットを発見しました:stager_55_bot、stager_56_bot、stager_58_bot、そして stager_64_bot へと連鎖的に続いています。これらのボットの一部は現在でもアクティブです。
Telegram ボットの基礎識別子を調査してみると、さらに複雑な構造が浮かび上がりました。通常、このような識別子は時系列で昇順になります。しかし、この場合、その順序は名前に表示されている数値と大きく矛盾しています。より大きな数字を持つボットが必ずしも最新のものとは限りません。このような矛盾したパターンは、この番号付けが生成時期ではなく、オペレーターやそのツールの内部的なロジックによって決定されていることを強く示唆しています。
同様に奇妙な特徴が表示名にも見つかりました。Olalampo、Nikoro、foltinao のようなランダムに見える文字列や、HayDay や Clash のようなゲームのタイトル、apple、bot、active などの一般的な単語が混在しています。自動翻訳ツールは、これらの造語の本来の意味がないにもかかわらず、執拗にそれらを単一の言語に由来するものとして分類しようとしています。
これらのボットすべてが単一の MuddyWater キャンペーンに関連することを証明する確実な法医学的証拠は、現在のところ得られていません。この関連性は、命名パターンとアクティブ期間の合致のみに基づいており、したがってこれらの結論は推測の領域にとどまっています。
それでも、この手法自体は非常に説得力があります。侵害の兆候を一つずつ探す代わりに、再帰的なアーキテクチャパターンを追跡することができます。LampoRAT の場合、防御側は既知のボット ID への Telegram API 経由のアクセスをあらかじめ遮断したり、サービスに対する疑わしいアクセスを継続的に監視したりすることができます。
