GitHubを悪用して、説得力のある改ざんされたリポジトリを通じて、開発者、ゲーマー、一般ユーザーにカスタムLuaJITベースのトロイの木馬を配信する大規模なマルウェア作戦。
「TroyDenのおとり工場」として追跡されているキャンペーンは300以上の配信パッケージに及び、OpenClawデプロイメントツールからゲームチート、Robloxスクリプト、暗号ボット、VPNクラッカー、Telegram推奨の電話トラッカーに至るまで、AI支援のおとりを使用しています。
キャンペーンの中心は、正当なOpenClaw AIプロジェクトのDockerデプロイメントヘルパーを装った偽のリポジトリであるAAAbiola/openclaw-dockerです。
リポジトリは信頼できるように見えます。実際のアップストリームOpenClawソースを再利用し、機能的なDockerfileとインストールスクリプトを含み、複数の貢献者をリストしており、さらにマッチングするGitHub Pagesサイトとai-agents、docker、openclaw、LLM、securityなどのSEO最適化されたタグを備えています。
信頼をさらに高めるために、TroyDenペルソナを使用するオペレーターは、使い捨てアカウントからスターとフォークをシードして社会的証拠を製造した後、無実の「Update README.md」コミットの下に悪意のあるDiatrymiformesディレクトリを静かに挿入しました。
このOpenClawデプロイヤーからの同じ771KBのトロイの木馬化されたバイナリは、「phone-number-location-tracking-tool」リポジトリや「fishing-planet-enhanced-menu」チートを含む他のおとりで再び表示され、すべてアクティブなペイロードリンクを一斉に回転させています。
Netskope Threat Labsは、複数のGitHubリポジトリにまたがって動作し、OpenClawデプロイメントを含む300以上の配信パッケージに及ぶマルウェアキャンペーンへのリンクを特定しました。
より広いクラスター全体で、おとり名はツール的なラベルと不明確な生物学、ラテン語、医学用語(たとえば、DiatrymiformesとChelydridae)を混在させており、このパターンは手動のキュレーションではなくAI生成の命名を強く示唆しています。
これは、LuaJITローダーとLumma Stealoerなどのインフォスティーラーを広めるために使用されたAI支援の偽のGitHubリポジトリに関する初期の研究を反映しています。
AI駆動のOpenClaw Trap
TroyDenのツールチェーンの中核は、自動分析を明示的に回避するために設計された2つのコンポーネントのLuaJITローダーです。
被害者は、Launch.batが単にunc.exeをlicense.txtを引数として実行するZIPをダウンロードします。unc.exeはストリップされたLuaJIT 2.1インタプリタであり、license.txtは暗号化されたPrometheusオブファスケされたLuaペイロードです。
個別に送信された各ファイルは低リスクのように見えます。インタプリタは一般的なLuaランタイムのように見え、スクリプトは不透明なデータのように見えます。これにより、ペアは分離してファイルを分析する多くの静的および動作サンドボックスを通り抜けることができます。
以前のバージョンはより明らかなlua.exeファイル名を使用していましたが、現在の1.8ペイロードは同じ動作を保持しながら一般的なunc.exeという名前の後ろに隠れています。
一緒に実行されると、スクリプトはデバッガー検出、低RAM および短稼働時間フィルター、権限チェック、ホスト名検査を含む5つの分析防止チェックを実行した後、時間制限されたサンドボックスを枯渇させるために約29,000年相当のSleep呼び出しを実行します。
Netskopeアナリストはスリープをパッチすることでこれを回避し、実際の環境ではマルウェアがコアアクティビティを30秒以内に完了することを明らかにしました。
このデザインは、2024年以降に文書化された増加するPrometheusオブファスケされたLuaJITローダーのファミリーと一致しており、同様の改ざん防止トリック、FFIベースのWindows APIコール、およびスクリーンショット優先ビーコンを使用しており、特にゲーム中心のキャンペーンでの使用が見られます。
分析防止チェックが合格するとすぐに、ペイロードは4つのレジストリ編集を通じてWinINetプロキシの自動検出を無効にしてコーポレート検査プロキシを回避し、次にip-api.comを通じてジオロケーション検索を実行して被害者のIP、国、ISPを記録します。
フルデスクトップスクリーンショットを24ビットBMPとして即座にキャプチャし、マルチパート/フォームデータを通じてHTTP経由でフランクフルトインフラストラクチャでホストされている指令統制(C2)サーバーにアップロードし、すべての観測された実行全体で固定マルチパート境界と静的ファイル名フィールドを使用します。
AAAbiola/openclaw-dockeで配信されたバイナリは、2番目のGitHubリポジトリmikenob39wang/phone-number-location-tracking-toolにも表示されます。これは電話番号からGPS座標を抽出することを主張するツールをアドバタイズしています。
C2は暗号化されたタスクとローダーブロブを含むJSONで応答し、ユーザーのDocumentsフォルダに保存され、追加ノードはnginxロードバランシングで前面にあり、同じASN上に少なくとも8つのアクティブなHTTPエンドポイントを提供します。
動的分析は、ローダーがスタートアップ時にDPAPIおよびadvapi32暗号APIを導入することを示しており、ブラウザー認証情報収穫と一致した動作と、最終的にLummastealerまたはRedLineを配信した以前のLuaJITローダーキャンペーンと一致しています。
TroyDenのインフラストラクチャによって配信された正確な最終ペイロードは回復されていませんが、XORキーはLua VM内のランタイムで組み立てられ、共有コードベース、C2共同配置、およびインフォスティーラーのような動作はすべて認証情報盗難を主な目的として指しています。
ボリューム優先、AI支援マルウェア
VirusTotalテレメトリは、300以上の異なる配信パッケージをTroyDenのフランクフルトC2ノードにリンクし、開発者とAI愛好家からRobloxプレーヤーおよび割れたVPNと電話トラッカーを求めるユーザーまで、視聴者全体にカットします。
この幅広さは、AI的な命名語彙と磨かれた欺瞞的なドキュメンテーションの繰り返された使用と相まって、正確なターゲット設定ではなくボリューム向けのAI支援おとり工場の画像をサポートしています。
Netskopeは、攻撃チェーンが自動防御を穴あけするために明示的に作成されていることを指摘しています。分割ファイルローダー、極端なスリープ遅延、インタプリタとデータのペアリング、およびGitHubベースの社会的証拠はすべて、脅威が人間のアナリストがコンテキスト内でチェーン全体を実行した場合にのみ完全に明らかになることを保証します。
Netskope Advanced Threat Protectionは最終的に、署名ではなく動作ヒューリスティックを通じて偽のOpenClawデプロイヤーと関連パッケージを検出し、漏洩前に顧客をブロックし、2026年3月20日に重要なリポジトリをGitHubに報告しました。
ディフェンダーの場合、名前が変更されたスクリプティングランタイムを不透明な「データ」ファイルと組み合わせるGitHubでホストされたダウンロード、特にAIツールまたはゲームチートリポジトリでは、高優先度トリアージ候補として扱われ、LuaJIT、Prometheusオブファスケされたペイロード、およびスクリーンショット優先C2ビーコンを密接に監視する必要があります。
翻訳元: https://gbhackers.com/ai-driven-openclaw/
