Zscaler ThreatLabzによると、新しいTropic Trooperキャンペーンでは、SumatraPDFリーダーのトロイの木馬版、AdaptixC2 Beacon、およびVS Code Tunnelsを使用して リモートアクセスを取得して 標的システムに侵入しました。
この活動は2026年3月12日に初めて観察され、標的は台湾、韓国、および日本の中国語話者である可能性があります。
攻撃は、軍事テーマのドキュメントルアーを使用して被害者を騙し、偽の実行可能ファイルを開かせるという悪意のあるZIPアーカイブで始まりました。
その実行可能ファイルは、TOSHIS型のシェルコードローダーをロードするトロイの木馬化されたSumatraPDFバイナリであり、その後メモリ内でAdaptixC2 Beaconをダウンロードして実行しました。ThreatLabzによると、ルアーPDFがユーザーに表示される一方で、マルウェアはバックグラウンドで静かに実行されました。
ローダーはカスタムのGitHubベースのコマンド&コントロールリスナーも使用しており、これによってトラフィックが通常の開発者活動に見分けがつかなくなりました。
ThreatLabzによると、キャンペーンのインフラストラクチャはCobalt Strike BeaconとEntryShellもホストしており、どちらのツールも以前にTropic Trooper活動と関連付けられていました。
足がかりを得た後、攻撃者は主に偵察のためにマシンを使用し、その後、彼らが価値があると判断したホスト上のVS Code Tunnelsに切り替えました。
脅威アクターはGitHub上で迅速なビーコン削除パターンも使用し、これはセッションデータを削除し、分析をより困難にするためのものと考えられます。
ThreatLabzは、このキャンペーンがTOSHIS、トロイの木馬化バイナリ、およびVS Codeトンネリングの使用を含む、以前のTropic Trooper操作と主要な戦術を共有していることを指摘しています。
このケースは、攻撃者がどのように明らかなマルウェアに依存するのではなく、信頼されたツールを悪用できるかを示しています。PDFリーダー、GitHub、およびVS Codeは多くの環境で一般的なツールであり、防御者が既知の悪いファイルのみを探す場合、検出がより困難になります。
キャンペーンはまた、カスタムマルウェアと組み合わせた、living-off-the-land型のアクセスへの明確な転換も示しています。
ThreatLabzは、ローダー、インフラストラクチャ、および感染後の動作に基づいて、サンプルをTropic Trooperに高い確信度でマッピングしています。
このキャンペーンは、Tropic Trooperがツールを変え続ける一方で、同じコアの方法を再利用する方法を示しています。
このグループは、トロイの木馬化されたPDFリーダー、カスタムのGitHubベースのC2リスナー、およびVS Code トンネル を組み合わせて、その活動を正常に見えるようにし、より長く隠れた状態を保ちました。
これらのツールは正当な業務で広く使用されているため、防御者はエンドポイント上の異常なトンネル作成、疑わしいGitHub API活動、および予期しないPDFリーダーの動作を監視する必要があります。
翻訳元: https://cyberpress.org/tropic-troopers-vs-code-assault/