アクロニス脅威リサーチユニット(TRU)は、米国政府機関を標的とした新たなマルウェアキャンペーンを観測し、その詳細を明らかにした。このキャンペーンでは、米国とベネズエラ間の最近の地政学的動向をテーマとした巧妙な手口が用いられ、LOTUSLITEと追跡されるDLLベースのバックドアが配布されたという。この活動は、政治的な誘引材料をZIPアーカイブに詰め込み、ローダー実行ファイルと悪意のあるDLLを組み合わせた単純な実行チェーンを使用している点で特異性を放っている。
このバックドアは、カスタムC++で開発されたインプラントであり、ハードコードされたIPベースのコマンド&コントロール(C2)サーバーと通信する。基本的なリモートタスク実行とデータ窃取機能を持ち、永続化技術も備えていることから、金銭目的ではなく、スパイ活動に焦点を当てた能力セットを有していることが示唆されている。アクロニスTRUの研究者であるイリア・ダフチェフ氏とスブハジート・シンハ氏は、このキャンペーンが地政学的な誘引を利用した標的型スピアフィッシングの継続的な傾向を反映していると指摘している。
特に注目すべきは、この攻撃がエクスプロイトベースの初期アクセスではなく、DLLサイドローディングのような信頼性の高い実行技術を好む点である。標的は米国政府および政策関連機関に限定されており、被害者層が非常に絞られていることが窺える。全体的な規模は限定的であるものの、標的の性質を考慮すると、その潜在的な戦略的影響は大きいと評価されている。
アクロニスTRUは、この活動をMustang Panda(別名Earth Pret、HoneyMyte、Twill Typhoon)に中程度の確信度で帰属させている。これは、過去のキャンペーンで観察されたインフラの重複、展開パターン、および運用特性との整合性に基づいている。しかし、Darktraceの研究者たちは、TTPの類似性は認めるものの、特定の脅威グループへの確信的な帰属には情報が不足していると慎重な姿勢を示しており、この点については後述する。
ベネズエラ情勢を装う巧妙な手口:標的型スピアフィッシングの深層
今回の攻撃の出発点となったのは、「US now deciding what’s next for Venezuela.zip」という名称のZIPアーカイブであった。このファイルは、米国とベネズエラ間の緊迫した政治情勢、特に2026年1月3日にベネズエラのニコラス・マドゥロ大統領が拘束されたとされる事件に関する報道を悪用している。攻撃者は、このような時事性の高いテーマを用いることで、受信者が疑いなくファイルを開封し、悪意のあるコンテンツを実行する可能性を高めている。
ZIPアーカイブの内部には、「Maduro to be taken to New York.exe」という実行ファイルと、隠された非標準のDLLファイル「kugou.dll」が含まれていた。この実行ファイルは、中国の音楽ストリーミングサービスであるKuGouの正規のバイナリを改名したものであり、署名期限切れではあるものの、正規のアプリケーションに見せかけることで警戒を緩めさせる狙いがあったと見られる。この正規の実行ファイルが悪意のあるDLLをサイドロードし、密かに悪性コードを実行するという手口は、Mustang Pandaの常套手段として知られている。
DLLサイドローディングは、正規のアプリケーションが依存するDLLを、攻撃者が用意した悪意のあるDLLに置き換えることで、正規のプロセス内で不正なコードを実行させる手法である。この場合、「Maduro to be taken to New York.exe」は「LoadLibraryW」APIを使用して「kugou.dll」を明示的にロードし、エクスポートされた関数を「GetProcAddress」経由で解決して実行を移管する。これにより、インポートテーブルに依存せず、暗黙的なロードも行わないため、検出を回避しやすくなる。
Darktraceの研究者たちは、このキャンペーンが、ウクライナ戦争、チベットに関する会議、南シナ海、台湾といった地政学的な問題に関連する誘引を頻繁に利用するMustang Pandaの過去のキャンペーンと類似点を共有していると指摘している。時事的なアーカイブ名、ProgramDataにディレクトリを作成する手法、正規の実行ファイルによる悪意のあるDLLのロード、永続化のためのレジストリキーの使用など、多くのTTPが一致している。
LOTUSLITEの技術的解剖:バックドアの機能と挙動
「kugou.dll」として識別されたDLLファイルは、詳細な調査の結果、LOTUSLITEと追跡されるバックドアとして機能していることが判明した。その唯一の目的は、脅威アクターにアクセスを提供し、状況に応じて特定のコマンドを実行することにある。このDLLには複数のエクスポート関数が存在するが、特に「DataImporterMain」という関数がバックドアの主要な機能として実行される。
この「DataImporterMain」関数は、バイナリのメモリへのロードや複数の文字列連結操作といった正規の機能群を実行した後、二つの重要な機能へと分岐する。一つは永続化を確立し、ターゲットマシン上にデコイファイルを作成する役割を担い、もう一つはビーコン機能を担当する。DLLの初期化ルーチンを分析すると、Microsoft C Runtime (CRT) の初期化メカニズムである「_initterm」を活用し、DllMainに到達する前にインプラントロジックの大部分が実行されることが観察された。
初期化関数の配列には、定型コードに関連する複数の関数に加え、Mutexesの値や永続化のためのディレクトリ位置、さらにはコマンド&コントロール(C2)サーバーのアドレスを設定する興味深い関数が含まれている。ビーコン関連のタスクを担当する関数は、「Sleep」関数で始まり、C2通信のリセットが必要な場合に脅威アクターのコマンドに応じてループを繰り返す構造となっている。
LOTUSLITEは、リモートからのコマンド実行とリアルタイムのコマンド出力取得を可能にする対話型「cmd.exe」シェルを作成する能力を持つ。また、脅威アクターは「TerminateProcess」APIを使用してこのシェルを終了させることもできる。さらに、複数の異なるディレクトリ内のファイルを列挙したり、ファイルの作成やデータ追加といった様々なファイル操作を実行したりする機能も備えている。バックドアの最後の機能は、現在のビーコンの状態を確認し、C2システムに報告することである。The Hacker Newsが報じたところによると、LOTUSLITEがサポートするコマンドには、リモートCMDシェルの開始(0x0A)、シェルの終了(0x0B)、コマンド送信(0x01)、ビーコン状態のリセット(0x06)、フォルダ内のファイル列挙(0x03)、空ファイルの作成(0x0D)、ファイルへのデータ追加(0x0E)、ビーコン状態の取得(0x0F)などが含まれる。
指令と制御:巧妙に隠蔽されたC2通信
LOTUSLITEインプラントは、WindowsのWinHTTP APIを利用してコマンド&コントロール(C2)サーバーに接続する。これは、悪意のあるトラフィックを通常のウェブトラフィックに紛れ込ませるための一般的な手法である。HTTPセッションを設定し、長いタイムアウト値を適用した後、インプラントはリモートサーバーに接続し、APIライクなエンドポイントへのPOSTリクエストを準備する。
このリクエスト自体は、無害に見えるように慎重に作成されている。User-Agent文字列には「Googlebot」を使用し、リファラーをGoogleに設定し、HostヘッダーをMicrosoftドメインとして提示する。これらの詳細に加え、固定セッションクッキーも含まれており、これはサーバーが感染ホストを認識するための単純な方法として機能している可能性が高い。これらの要素が組み合わさることで、トラフィックは日常的なものに見え、ネットワークログで目立つ可能性を低減させている。
さらに、インプラントはハードコードされたヘッダーシーケンスとして、16進数で「0x8899AABB」という小さな「マジックマーカー」を使用する。このマーカーは、リクエストが正当なインプラントから来ていることをサーバーに伝える役割を果たすと見られる。このマーカーが追加された後、マルウェアは実際のPOSTボディを添付するが、これは意図的に小さく保たれており、基本的なチェックインやタスク応答に使用されている可能性が高い。
アクロニスの分析によると、このC2サーバーは「172[.]81[.]60[.]97」にホストされており、「unassigned.172-81-60-97[.]spryt[.]net」というホスト名に解決される。このインフラはアリゾナ州フェニックス(米国)に位置し、ダイナミックDNSおよびホスティングサービスプロバイダーとして一般的に関連付けられているDynu Systems Incorporatedが運営するASN AS398019の一部である。インプラントはTCPポート443を介してこのC2サーバーへのアウトバウンド接続を確立しており、これは通常のHTTPS活動内に悪意のあるトラフィックを紛れ込ませようとする試みと一致する。
Mustang Pandaとの関連性:異なる見解とTTPの類似性
アクロニス脅威リサーチユニット(TRU)は、今回のキャンペーンをMustang Pandaに中程度の確信度で帰属させている。この評価は、配信スタイル、ローダーとDLLの分離、インフラの使用など、Mustang Pandaのトレードクラフトと中程度の重複が見られることに基づいている。特に、正規のKuGou実行ファイルをローダーとして使用する手法は、2022年にCisco Talosが報告したMustang Pandaのキャンペーン(「ASEAN Leaders Meeting.exe」を使用)と類似している。
また、LOTUSLITEバックドアは、挑発的なメッセージを埋め込むことで、Mustang Pandaに関連する複数のキャンペーンで観察されたClaimLoaderの行動を模倣しているとアクロニスは指摘している。ClaimLoaderは、IBM X-Forceが2025年5月にチベット人コミュニティを標的としたサイバースパイキャンペーンに関連して初めて文書化したDLLである。これらの行動的類似性や、異常な行動痕跡を残すといった共有されたトレードクラフトは、Mustang Pandaの活動クラスターに今回のキャンペーンが属するという評価を裏付けている。
しかし、Darktraceの研究者たちは、TTPの類似性は認めるものの、特定の脅威グループへの確信的な帰属には情報が不足していると、より慎重な姿勢を示している。彼らは、時事的なアーカイブの使用、ProgramDataにディレクトリを作成する手法、正規の実行ファイルによる悪意のあるDLLのロード、永続化のためのレジストリキーの使用など、Mustang Pandaの過去のキャンペーンとの共通点を挙げている。この見解の相違は、脅威アクターの帰属がしばしば複雑であり、異なる情報源や分析手法によって確信度が変動しうることを示している。
さらに、各ソースで提供されたハッシュ値にも差異が見られる。例えば、Source 1のアクロニスは「Maduro to be taken to New York.exe」のSHA256ハッシュを「819f586ca65395bdd191a21e9b4f3281159f9826e4de0e908277518dba809e5b」と報告しているのに対し、Source 3のDarktraceは「722bcd4b14aac3395f8a073050b9a578」を挙げている。これは、同じキャンペーン内で異なるサンプルが使用されたか、あるいは異なる時期に分析されたことを示唆しており、脅威アクターがツールのバリアントを頻繁に更新している可能性も考えられる。
攻撃の連鎖:侵入から永続化、そして再起動の罠
今回の攻撃は、標的型スピアフィッシングメールを通じて配布されたZIPアーカイブから始まる。被害者が「US now deciding what’s next for Venezuela.zip」という政治的テーマのアーカイブを開封すると、内部に含まれる「Maduro to be taken to New York.exe」という正規のKuGouバイナリが実行される。この実行ファイルは、同じディレクトリ内に存在する悪意のあるDLL「kugou.dll」(LOTUSLITEバックドア)をDLLサイドローディングによってロードする。
DLLが実行されると、まず永続化のための準備が開始される。具体的には、「C:\ProgramData\Technology360NB」というディレクトリが作成され、悪意のあるDLLと実行ファイルが「DataTechnology.exe」という名前に変更されてこのディレクトリにコピーされる。その後、「SHSetValueA」APIを使用して、現在のユーザーのRunキーの下に「Lite360」という名前のレジストリエントリが作成される。このエントリは、「DataTechnology.exe --DATA」というコマンドライン引数と共に、ユーザーがログインするたびにインプラントが自動的に実行されるように設定される。
Darktraceの分析によれば、実行中に「Please restart your computer and try again, or contact the original author.」というキャプションのダイアログボックスが表示されるという興味深い挙動が確認されている。このメッセージは、ユーザーにシステムの再起動を促すものであり、ユーザーが再起動に応じない場合、強制的な再起動がトリガーされる。システムがリセットされると、マルウェアはレジストリキーから起動し、C2サーバー「172.81.60[.]97」への定期的なTLS接続を開始する。
この再起動のメカニズムは、マルウェアが永続化を確立し、C2通信を開始するための確実な手段として機能する。暗号化されたトラフィックのため、コマンドやデータの直接的な検査は困難だが、定期的なビーコンと応答トラフィックは、マルウェアがリモートサーバーから指示、設定、またはタスクを受け取る能力を持っていることを強く示唆している。この一連の攻撃連鎖は、高度な回避機能を持たないLOTUSLITEバックドアが、DLLサイドローディング、信頼性の高い実行フロー、および基本的なC2機能と組み合わせることで、いかに運用上の信頼性を重視しているかを浮き彫りにしている。
地政学的テーマの悪用と今後の課題
今回のLOTUSLITEキャンペーンは、地政学的なテーマを誘引として利用する標的型攻撃が依然として効果的であることを明確に示している。米国とベネズエラ間の緊張関係という時事性の高い話題は、被害者の好奇心を刺激し、警戒心を低下させる強力な手段として機能した。脅威アクターは、国際会議、二国間協議、地域固有の政治イベントといったテーマを継続的に悪用し、政府や政策関連機関に対するスパイ活動を支援している。
アクロニスTRUは、LOTUSLITEバックドア自体は高度な回避機能を欠いているものの、DLLサイドローディング、信頼性の高い実行フロー、および基本的なコマンド&コントロール機能の使用は、洗練性よりも運用上の信頼性に焦点を当てていることを反映していると結論付けている。これは、複雑なゼロデイエクスプロイトに頼るよりも、シンプルで実績のある技術を確実に展開することを選ぶ脅威アクターの戦略を示唆している。
また、LOTUSLITEのDLL内に、開発者が挿入した「ロシア起源ではない」というメッセージや「中国のアイデンティティを主張する」メッセージが含まれていたことは、興味深い発見である。これは、脅威アクターが自らの起源について意図的に誤解を招こうとしている可能性、あるいは心理戦の一環である可能性を示唆している。このようなメッセージは、帰属分析をさらに複雑にする要因となりうる。
今回のキャンペーンは、サイバーセキュリティ防御側に対し、単なる技術的指標だけでなく、地政学的な文脈や脅威アクターの行動パターンを深く理解することの重要性を改めて教えている。特に、Mustang Pandaのような国家支援型と見られる脅威グループは、その活動を常に現在の地政学的動向と連携させているため、国際情勢の監視も脅威インテリジェンスの重要な一部となる。組織は、従業員に対する継続的なセキュリティ意識向上トレーニングと、DLLサイドローディングのような既知の実行技術に対する堅牢な検出・防御メカニズムを強化する必要があるだろう。
参考情報
本記事は以下の情報源を参考に作成されました:
- -LOTUSLITE: Targeted espionage leveraging geopolitical themes - https://www.acronis.com/en/tru/posts/lotuslite-targeted-espionage-leveraging-geopolitical-themes/
- -LOTUSLITE Backdoor Targets U.S. Policy Entities Using Venezuela-Themed Spear Phishing - https://thehackernews.com/2026/01/lotuslite-backdoor-targets-us-policy.html
- -Maduro Arrest Used as a Lure to Deliver Backdoor - https://www.darktrace.com/fr/blog/maduro-arrest-used-as-a-lure-to-deliver-backdoor