APT41が新しいWinntiバックドアでLinuxクラウドサーバーを標的化

中国関連の脅威グループAPT41（Winnti）によるものとされる、以前は文書化されていなかったLinuxバックドアが発見されました。AWS、GCP、Azure、Alibaba Cloudのクラウドワークロードを標的にしています。

ELFベースのインプラントは、現在VirusTotal上でゼロ検出を示しており、新しいSMTPベースのコマンドアンドコントロール（C2）メカニズムを使用してLinuxサーバーをステルスな認証情報盗聴ノードに変換します。

この発見はAPT41のLinuxおよびクラウド標的操作の新しい段階を示しており、彼らの技術の有意な進化をマークしています。

典型的なHTTPSやDNSコールバックとは異なり、バックドアはSMTPポート25を介して通信します。このポートはメールサービスをホストするクラウドネットワークでは制限されていないことがよくあります。

マルウェアはSMTPメッセージ本文内でエンコードされたペイロードを交換し、SMTPリプライコード内に隠されたコマンドを受け取ります。多くの検出システムはそのようなトラフィックを見落とし、APT41に企業環境での信頼できる低摩擦のコバートチャネルを与えています。

セキュリティ研究者@TuringAlexが最初にサンプルを表面化させ、@Xlab_qaxはそれを長期にわたるWinntiマルウェアファミリーにリンクさせました。

インプラントには選択的ハンドシェイク検証メカニズムも含まれています。43[.]99[.]48[.]196に位置し、Alibaba Cloud（シンガポール）でホストされているC2サーバーは、初期SMTP「EHLO」コマンドで有効なトークンが必要です。

ShodanやCensysなどのスキャナーまたはクローラーがチェックに失敗した場合、ベナインなサーバーバナーのみが表示され、システムが自動的な偵察に対して効果的に見えなくなります。

クラウドプロバイダーの認証情報を標的化

APT41のLinuxインプラントは、主要なクラウドプロバイダーから積極的に認証情報とメタデータを収集します：

盗まれたすべてのデータは、流出させるための準備をする前に、ハードコードされたAES-256キーで暗号化されます。

研究者はAlibaba CloudとQianxinサービスになりすまし3つのタイポスクワッティングドメインai[.]qianxing[.]co、ns1[.]a1iyun[.]top、およびai[.]aliyuncs[.]helpをマップしました。

すべてはNameSiloを介して24時間以内（2026年1月20日～21日）に登録され、シンガポールのAlibaba Cloudインフラストラクチャでホストされています。このバルク登録パターンは、以前のキャンペーンで観察されたAPT41の履歴的なopsecメソドロジーと一致しています。

「a1iyun」ドメインはl字を数字で置き換えており、これはWinntiインフラストラクチャで一般的な署名ホモグリフテクニックです。

認証情報盗聴を超えて、インプラントはローカルサブネット内の255.255.255.255:6006に定期的なUDPブロードキャストビーコンを送信します。

このピアツーピア調整技術により、感染したホストは追加のC2トラフィックなしでタスクを横方向に伝播でき、検出をさらに複雑にします。

このバックドアはWinntiのリナックスツール設定の6年間の系統に遡ります：

この進展はシンプルなインプラントからクラウドネイティブ認証情報ハーベスターへのAPT41の戦略的シフトを強調しており、マルチクラウド環境での永続性とステルスのために設計されています。

クラウドネイティブセキュリティが成熟するにつれ、APT41のゼロ検出ELFマルウェアの洗練は、拡大する攻撃表面とクラウドディフェンダーがSMTPなどの非Webトラフィックを深く検査して隠されたパーシステンスチャネルを検出する必要性を強調しています。