トロイの木馬化されたPDFリーダー、カスタムAdaptixC2ビーコンリスナー、およびVisual Studio(VS)Code tunnelsを組み合わせた新しいTropic Trooperキャンペーンで、ターゲットシステムへのリモートアクセスを獲得および維持しています。
この作戦は台湾の中国語を話す個人、および韓国と日本の被害者に焦点を当てているようです。ツールとテクニックの強い重複に基づいて、Tropic Trooper(別名Earth Centaur、Pirate Panda)に高い信頼度で帰属されます。
起動時に、トロイの木馬化されたSumatraPDFは囮PDFを表示し、囮のテーマと一致しながら、メモリにAdaptixC2ビーコンエージェントをデプロイするシェルコードを静かにダウンロードして実行しました。
ほとんどのドキュメントは無害に見えましたが、「Comparative Analysis of US-UK and US-Australia Nuclear Submarine Cooperation (2025).exe」というファイルは、実は複数段階の感染チェーンを開始したトロイの木馬化されたSumatraPDFリーダーでした。
2026年3月12日、ThreatLabzは悪意のあるZIPアーカイブを特定し、中国語の複数の軍事・防衛テーマのドキュメントを含んでいました。メタバース産業基地、音響インテリジェンスセンター、無人システム、および核潜水艦協力を参照するファイルが含まれていました。
ローダーコードはTrend Microの TAOTH キャンペーンで以前文書化されたTOSHISローダーと密接に一致し、同様の制御フロー乗っ取りおよび構成処理を含みますが、スタック文字列が更新され、言語IDチェックが削除されています。
TOSHISローダーとAdaptixC2ビーコン
変更されたSumatraPDFバイナリは、_security_init_cookie関数を悪用して、通常のアプリケーション起動ではなく悪意のあるTOSHISローダーコードに実行を転向させます。
このローダーは主要な設定値(C2 IP、ファイルパス、DLL名、暗号キー)を構築し、Adler-32ハッシュアルゴリズムを介してAPIを解決し、その後PDF囮と第2段階シェルコードをステージングサーバーからダウンロードしてから、AES-128-CBCを使用してシェルコードを復号化し、AdaptixC2ビーコンとしてメモリで実行します。
通常Cobalt Strike BeaconsまたはMerlinエージェントをデプロイしていた以前のTOSHISバリアントとは異なり、このキャンペーンはオープンソースのAdaptixC2フレームワークに転換し、Tropic Trooperがより多様なポスト利用ツールセットへのシフトを示しています。
ステージングサーバーは、Cobalt Strike Beaconもホストし、(ウォーターマーク「520」付き)カスタムEntryShellバックドアも同様に、Tropic Trooper操作に以前リンクされていたもので、帰属を強化しています。
ThreatLabzは、AdaptixC2ビーコンがGitHubをコマンド&コントロール(C2)プラットフォームとして活用するカスタムリスナーを使用していることを発見し、GitHubの問題を悪用し、リポジトリコンテンツAPIを使用してビーコンを送信し、タスクを受け取り、結果を流出させています。
トロイの木馬化された実行可能ファイルは一見するとオープンソースのSumatraPDFリーダーに似ており、正当なSumatraPDF実行可能ファイルと同じ証明書とPDBパスを備えています。
抽出された設定には、偽のリポジトリ所有者と名前、api.github.comのAPIホスト、および暗号化された設定セクションとビーコントラフィックを復号化するために使用されるRC4キーが含まれていました。
ビーコンはセッションごとのRC4キーを生成し、ipinfo.ioを経由して被害者の外部IPを取得し、そのIPを各ビーコンに埋め込み、その後特定のGitHub問題に投稿してセッションを確立します。
タスクは、タイトルと本体がコマンドとパラメータをエンコードするオープンGitHub問題を通じて配信されます。マルウェアはシンプルな部分文字列マッチングを使用してこれらを解析し、その後「upload/{agent_id}/…」などのリポジトリパスからBase64エンコードされたタスクファイルをダウンロードして実行し、暗号化された結果を「download_*.txt」ファイルとしてアップロードします。
VS Code tunnelsの悪用
C2監視により、Tropic Trooper操作者がGitHubからビーコンアーティファクトを数秒以内に削除し、おそらくセッションキーを破棄し、ライブC2トラフィックへのフォレンジック可視性を制限していることが示されました。
上記の設定内のRC4キーは、設定の暗号化された部分とビーコンハートビートを復号化するために使用されます。
AdaptixC2ビーコンは主に偵察と初期フットホールドの確立に使用され、その後高価値の被害者はインタラクティブなリモートアクセスのためにVS Code tunnelsに移行されたました。
操作者はVS Codeコマンドラインクライアントをダウンロードしてインストールするコマンドを発行し、「code tunnel user login –provider github」を経由してログインし、「\MicrosoftUDN」と「\MSDNSvc」などの秘密のタスク名の下で永続性のためのスケジュール済みタスクを設定し、カモフラージュのための追加のトロイの木馬化されたバイナリと一緒に設定しました。
VS Code tunnels、TOSHISローダー、EntryShell、ウォーターマーク「520」付きのCobalt Strike、および同様のポスト感染コマンドの再利用は、TAOTHキャンペーンを反映し、ThreatLabzのTropic Trooperへの高い信頼度帰属を支えています。
翻訳元: https://gbhackers.com/tropic-trooper-uses-custom-beacon/
