古い時代のボットネットは、長い間、集合的な記憶の周辺に追いやられていましたが、以前の推定を大きく上回る致命性を持って再び出現しました。2011年以来、脅威状況の一部であった Phorpiex ネットワークは、単に存続しただけでなく、大規模な侵入、恐喝、および暗号資産の違法な流出のための多用途な手段へと変質しました。
Bitsight Research の研究者たちは、特に「Twizt」バリアントである Phorpiex の最新の現れを精査しました。長期にわたる存在を通じて、ボットネットは深刻な変態を経験し、初歩的なスパムエンジンから悪意のあるペイロードの配布用の洗練されたプラットフォームへと進化しました。このアーキテクチャは、従来のコマンドアンドコントロールサーバーと、侵害されたホスト間のピアツーピア(P2P)プロトコルを巧みに統合し、インフラストラクチャをほぼ破壊不可能にしています。中央サーバーが破壊されたとしても、感染したノードは互いの間で命令を伝播し続けます。
感染の規模は驚異的です。毎日約125,000台の侵害されたデバイスが特定され、70,000台がP2Pネットワークに積極的に参加しています。過去3ヶ月間に、これらの感染したマシンは170万以上のユニークなIPアドレスから出現しており、イラン、ウズベキスタン、中国、カザフスタン、パキスタンに顕著な集中が見られます。この地理的分布は、ボットネットの主要な収益化戦略と本質的に関連しています。それは、システムのクリップボード内で暗号資産ウォレットアドレスを悪質に置き換える「クリッパー」攻撃です。Phorpiex は常にユーザー活動を監視しており、ウォレットアドレスを検出すると、それを即座に攻撃者のアドレスに置き換え、さまざまなデジタル通貨にまたがる約90の異なるウォレットのライブラリを利用します。
デジタル資産の盗難を超えて、ボットネットはランサムウェアの配信の仲介役としても機能します。2025年の秋、Phorpiex は LockBit Black のバージョンを配布するために利用されました。感染したマシンは、ホストが企業ネットワークに統合されているか、サーバーとして機能しているかを評価するローダーを受け取りました。これらの基準が満たされた場合、暗号化ペイロードが展開されました。同様に、2026年1月、オペレーターは「Global」ランサムウェアバリアントを利用したキャンペーンを開始し、特に中国内のユーザーを対象としました。マルウェアは公開ネットワークサービスを通じてホストの地理的位置を特定し、指定されたデバイスでのみ暗号化をトリガーしました。これにより、7,000台の感染ノード(観測されたフリートの約10%)のアクティビティが急激に低下しました。
アンチウイルス&マルウェア
伝播は、悪意のある添付ファイルを特徴とする大量のメールキャンペーンを通じて達成されます。被害者はドキュメントを含むと見せかけたアーカイブを受け取りますが、実は PowerShell コマンドへのリンクを隠しています。実行されると、システムは攻撃の後続段階を取得し、ランサムウェアの展開で終わります。単一のキャンペーンは200万から600万のメールアドレスを含むことができます。同時に、ボットネットは、被害者のウェブカメラへの不正なアクセスを主張し、約1,800米ドルのビットコインの身代金を要求する脅迫罪の脅迫を広めます。
Phorpiex はワーム的な特性を示し、良性ファイルに偽装して、リムーバブルメディアとネットワークドライブに自身をレプリケートします。さらに、コードは永続性を確保するために他の実行可能ファイルに自身を注入します。防御を回避するために、マルウェアは Windows ファイアウォールの除外リストに自身を追加し、自動化されたプロトコルを介してホームルーターを再構成して、一方的なインバウンド接続を許可することを試みます。これにより、侵害されたデバイスはコマンドインフラストラクチャの機能的なコンポーネントに効果的に変換されます。
ボットネットの定義的な属性はハイジャックに対するその回復力です。すべてのコマンドとファイルは公開鍵暗号を使用して保護されており、敵対者の秘密鍵がなければ、ネットワークに不正な命令を注入することはほぼ不可能です。その長老性にもかかわらず、Phorpiex は動的で進化する脅威であり続けています。そのオペレーターは慎重な方法論を採用しており、本格的なキャンペーンを開始する前に感染の程度を細心に検証します。この戦術的な慎重さは、ネットワークに対する継続的な支配を保証しながら、違法な配当を最大化します。
