jp:
日本語
主な調査結果:
- TA4922は、高度に洗練された脅威アクターであり、極めて速い活動ペースを示すとともに、マルウェア武器庫を継続的に進化させています。
- このグループは、Atlas RAT、RomulusLoader、SilentRunLoader、ValleyRAT(Winos4.0)をはじめとする複数のマルウェアファミリーを使用していることが確認されています。
- TA4922は、人事、給与、税務、請求書などをテーマにした地域特化型のおとりを利用して、複数地域の組織をだましています。ここ数か月で、このアクターの活動は欧州やアフリカを含む世界各国へと拡大しています。
- このアクターは、悪意のある活動に正規ツール、信頼されたソフトウェア、クラウドホスティングサービスを組み合わせて利用しており、検知や防御をより困難にしています。
概要
中国語話者によるサイバー犯罪エコシステムは、近年劇的に拡大しています。この脅威環境で確認されている多くの脅威は、中国のサイバースパイ脅威アクターによって最初に使用されたマルウェア、特にGh0stRATやその関連ペイロードを起源としており、中国語話者のユーザーを頻繁に標的としていました。しかし、中国語話者のサイバー犯罪者がマルウェア、ソーシャルエンジニアリング、そしてグローバルな標的設定において能力を向上させるにつれて、その活動範囲は拡大し、より多くのアクタークラスターが出現しています。本レポートでは、主に東アジアを標的としている新たに確認された中国語話者の脅威アクターであるTA4922について詳しく解説します。
このアクターは、おとりのテーマ、標的、そして目的が非常に多岐にわたる点で特異な存在です。TA4922は、マルウェアの配布、認証情報フィッシング、さらにはクレジットカード窃盗のような詐欺行為も行っています。サイバー犯罪者が複数の目的を示すことはあります(例えば、詐欺を実行するために認証情報フィッシングを利用するなど)が、TA4922は異なるキャンペーン、ペイロード、目的にわたって一貫して活動しており、プルーフポイントが追跡するアクターの中でも特に独特な存在となっています。
TA4922の活動は、他のリサーチャーによってSilver FoxまたはVoid Arachneとして報告されている活動と、ツール、インフラストラクチャ、ソーシャルエンジニアリングのテーマにおいて重複が見られます。これらのクラスターはしばしばスパイ活動志向と特徴付けられますが、プルーフポイントは、TA4922にアトリビューションされるキャンペーンは、その高度な攻撃手法にもかかわらず、サイバー犯罪的な目的により近いと評価しています。本レポートで説明する活動はSilver Fox/Void Arachneと完全に一致するものではなく、プルーフポイントはこのアクターを独立した脅威クラスターとして追跡しています。
2025年春以降、プルーフポイントはTA4922に関連する悪意のあるメールキャンペーンを追跡してきました。プルーフポイントによるメール、標的、ペイロードの分析に基づくと、このアクターは金銭的な動機を持っている可能性が高く、データ窃取、詐欺、不正に取得したアクセス権の転売、または永続的なアクセスの確保といった金銭的利益を得るために、被害者環境へのリモートアクセスの取得に注力していると考えられます。
2026年3月から4月にかけて、プルーフポイントはTA4922のマルウェアツール群の進化を示す一連のキャンペーンを確認しました。このアクターの活動ペースは2026年3月から4月にかけて劇的に加速しました。これらの観測されたキャンペーンでは、主に人事およびビジネスをテーマとしたおとりを利用し、認証情報フィッシング、詐欺、そして新たに確認されたAtlas RATを含むマルウェアペイロードの配布を試みていました。また、キャンペーンでは、プルーフポイントがRomulusLoaderおよびSilentRunLoaderと命名した新たなローダーファミリーも利用されていました。RomulusLoaderは、AnyDeskやSyncFutureといった正規のリモート管理ソフトウェア(RMM)を含む追加ツールを展開するために使用されています。ここ数か月で確認された多様なペイロードは、このアクターの戦術・技術・手順(TTP)における大きな変化を示しています。
本レポートでは、新たに確認されたペイロードと、それに関連する注目すべきキャンペーンに焦点を当てます。
アクターの詳細
TA4922は、受信者に悪意のあるリンクをクリックさせたり、サードパーティサービス上でホストされたペイロードをダウンロードさせたり、認証情報を窃取したり、メールからメッセージングアプリへとやり取りを移行させたりするために、ソーシャルエンジニアリングを利用しています。このアクターはこれまで、Winos4.0(ValleyRATと呼ばれることもあります)やHoldingHandsといったマルウェアファミリーとの関連が確認されていました。このアクターはここ数か月でマルウェアの武器庫を拡大しており、その詳細について以下で説明します。
キャンペーンの規模は通常、小規模から中規模で、数百件から数千件程度に及び、メッセージは特定の地域や業務部門向けにカスタマイズされています。キャンペーンの主な標的は日本の組織であり、さらに台湾、韓国、シンガポール、インドを含むアジア地域も標的としています。ここ数か月では、英国、ドイツ、イタリア、南アフリカの組織を含むように、標的範囲を世界的に拡大しています。
図1:2026年1-5月におけるTA4922の主な標的国トップ10
TA4922はマルウェア配布に加えて、認証情報フィッシングやなりすましキャンペーンも実施しており、メールでのやり取りをメール以外の通信チャネルへ移行させようとしています。これらのメッセージは、信頼できる機関や社内の関係者になりすまし、LINE、WhatsApp、Microsoft Teamsなどのメッセージングプラットフォームで会話を継続するよう受信者に求めます。やり取りがこれらのプラットフォームに移行すると、このアクターはソーシャルエンジニアリングをさらに展開したり、連絡先情報を収集したり、従来のメールセキュリティの可視性を回避してマルウェアを配布したりしやすくなります。
図2:新しいLINEグループの作成を受信者に指示するソーシャルエンジニアリングメール
図3:TA4922の2026年1月~5月における攻撃キャンペーン種別
プルーフポイントは、TA4922が東アジアを拠点とし、中国語を話すアクターである可能性が高いと評価しています。マルウェアサンプル内の中国語メタデータ、中国系プロバイダーに関連するインフラの頻繁な利用、そしてSilver FoxおよびVoid Arachneのエコシステムとの重複が、この評価を裏付けています。
地理的な標的設定は高度に地域特化されています。TA4922は最も頻繁に日本、台湾、インド、マレーシア、シンガポール、インドネシアの組織を標的としており、時折ドイツや英国などの欧州諸国も標的としています。おとりは税務当局、財務部門、人事部門になりすますことが多く、現地の言語習慣に合わせて巧妙に作成されています。
キャンペーンの詳細
標的設定、おとりのテーマ、ペイロードの多様性をより深く理解するために、ここではTA4922による最近確認されたキャンペーンの一部を紹介します。これらのキャンペーンは、このアクターの活動全体のごく一部に過ぎませんが、このグループに典型的な行動を示す事例となっています。また、新たなマルウェアの登場は、このグループの攻撃手法自体は比較的一貫している一方で、ペイロードはキャンペーンごとに急速に変化し得ることを示しています。
Atlas RAT キャンペーン1
2026年3月6日、プルーフポイントは、人事関連をテーマにしたメッセージを利用して日本の組織を標的とするTA4922のキャンペーンを確認しました。これらのメールは社内の人事通知を装っており、人事異動や報酬に関する変更を受信者へ通知する内容を装っていました。
メール本文の翻訳:
文面は形式的で、意図的に曖昧な表現が用いられています。具体的な金額には触れず、その一方で報酬に関する緊急性を強調しており、受信者が内容を十分に確認する前に迅速に行動してしまう可能性を高めるための手法となっています。
このメールには、ZIPファイル「【給与調整のお知らせ】.zip」へリンクするGoFileのURLが含まれていました。このZIPファイルには実行ファイルと悪意のあるDLLが格納されていました。実行されると、DLLサイドローディングによってAtlas RATペイロードがインストールされ、TCPポート886を介してIPアドレス206[.]238[.]115[.]58と通信するよう設定されていました。
図4:2026年3月のキャンペーンで使用された、人事部門をテーマにした給与調整メールのおとり
Atlas RAT キャンペーン2
2026年4月2日、プルーフポイントは、英国およびドイツの標的に対してAtlas RATを配布するTA4922の第2のキャンペーンを確認しました。ソーシャルエンジニアリングの手法および配信インフラは、3月の活動からほとんど変化していませんでした。
このキャンペーンのメールも、社内の人事部門からの連絡を装い、受信者に定型的な書類を確認するよう指示していました。一部のメッセージでは、書類について確認または承認が必要であることが示唆されていました。
URLはGoFile上でホストされたZIPファイルへ誘導しており、「Paperwork.zip」や「HR (2).zip」といったファイル名が使用されていました。これらのZIPファイルには、実行ファイルと悪意のあるDLLファイルであるlibcef.dllが含まれていました。起動するとDLLサイドローディングが発生し、Atlas RATが展開されました。このAtlas RATは、TCPポート886を介してC2サーバーIPアドレス154[.]211[.]86[.]110と通信するよう設定されていました。
図5:2026年4月に使用された人事部門をテーマにしたメールのおとり
Atlas RAT キャンペーン3
2026年4月7日、プルーフポイントはTA4922による3件目のキャンペーンを確認しました。このキャンペーンでは、これまでと同様の配信手法を維持しながらも、異なるおとりテーマが導入されていました。これまでの人事部門をテーマにした活動とは異なり、このキャンペーンは請求業務に関するカスタマーサービスの連絡を装っていました。メールでは、PDF形式の電子請求書を送付するものであると主張していました。
メール本文の翻訳:
メールの添付ファイルは「電子請求書発行のお知らせ.zip」という名称のZIPアーカイブで、その中には圧縮されたIMGファイルが含まれていました。IMGファイルをマウントすると、その中にはDLLサイドローディングを利用してAtlas RATをインストールする実行ファイルが含まれていました。実行後、ペイロードは過去のキャンペーンで確認されたものと同じインフラであるIPアドレス154[.]211[.]86[.]110と、TCPポート886を介してC2通信を確立しました。
図6:圧縮されたIMG添付ファイルを介してAtlas RATを配布する電子請求書メールのおとり
RomulusLoader キャンペーン1 ― 初期活動
2026年3月23日、プルーフポイントは、RomulusLoaderと命名した新しいローダーファミリーの初めての使用例となるTA4922のキャンペーンを確認しました。これらのメールは主に日本の組織を標的としており、企業関連および人事関連をテーマとしたおとりを使用していました。
メッセージは社内の企業連絡を装い、受信者に業務関連文書を確認するよう促していました。メール本文に埋め込まれたURLは、ZIPアーカイブがホストされているファイル共有サービス(LimeWire)へユーザーを誘導していました。
メール本文の翻訳:
アーカイブには、実行ファイルと悪意のあるDLLが含まれていました。実行されると、ペイロードはDLLサイドローディングを利用してRomulusLoaderをインストールしました。その後、このローダーは追加のペイロードを取得して実行しようとしましたが、初期分析の時点では最終段階のペイロードは特定されませんでした。観測されたネットワーク通信では、TCPポート1234を介して43[.]156[.]77[.]97のC2インフラとの通信が確認されました。
図7:LimeWireのURLを利用した企業/人事テーマのおとり
図8:RomulusLoaderペイロードをホストするLimeWire
RomulusLoader キャンペーン2 ― RMMの配布
リモート監視・管理(RMM)ペイロードは、現在のサイバー犯罪脅威環境において非常に広く利用されています。その理由の一つは、正規サービスを悪用することで、脅威アクターが正当なソフトウェアを利用しているように見せかけながらネットワーク内に潜伏できるためです。しかし、プルーフポイントが通常観測するケースでは、脅威アクターは初期アクセスを得るための第一段階ペイロードとしてRMMを配布し、その後、足掛かりを確保した後に追加のペイロード(さらなるRMMやマルウェアなど)を展開します。TA4922はこれとは異なり、新たに確認されたRomulusLoaderを第一段階として利用し、その後にRMMを展開しています。
2026年4月中旬、プルーフポイントは、RomulusLoaderを利用して正規のRMMソフトウェアであるAnyDeskおよび中国製RMMのSyncFutureを展開する複数のTA4922キャンペーンを確認しました。
これらのメールは、業務関連および税務関連のテーマを用いて日本およびドイツの組織を標的としていました。前回のキャンペーンと同様に、メールにはURLが埋め込まれており、そのリンク先には実行ファイルと悪意のあるDLLを含むZIPアーカイブが配置されていました。実行されるとDLLサイドローディングが発生し、RomulusLoaderがインストールされました。
初期実行後、RomulusLoaderは追加コンポーネントを取得し、SyncFutureまたはAnyDeskのいずれかのRMMソフトウェアをインストールしました。これらのキャンペーンでは第一段階のインフラが共通しており、後続ペイロードのホスティングにIPアドレス103[.]214[.]172[.]33が利用されていました。
注目すべき点として、TA4922がSyncFutureを配布した最後の事例は2025年12月のキャンペーンであり、その後の活動では利用が確認されていませんでした。しかし、最近のキャンペーンから、このツールが依然としてこのアクターのマルウェア兵器庫の一部であることが分かります。
SyncFutureを配布するキャンペーンはドイツの組織を標的としており、ミュンヘン税務署(Finanzamt München)になりすましていました。メッセージでは、受信者が税務監査の対象となっていると主張していました。
図9:受信者を監査関連文書のダウンロードへ誘導する税務監査テーマのメール
メール内のURLは、税務ポータルを装ったランディングページへ誘導していました。
図10:ドイツ語による偽の税務ポータルのランディングページ
AnyDeskを配布するキャンペーンは、給与および報酬をテーマにしてドイツ企業を標的としていました。メールにはZIPファイルへのURLが含まれており、給与明細や経費情報をZIP形式のPDFとして共有するものだと説明していました。そのファイルには、マルウェアの実行につながるEXEファイルとDLLが含まれていました。
図11:社内の給与・経費通知システムを装い、受信者にPDF文書と称するファイルのダウンロードを促す給与関連のおとり
図12:最初のランディングページで表示されるCAPTCHA風の認証画面
図13:社内給与通知システムを装った給与関連のランディングページ
PDF形式の給与明細と称するファイルをダウンロードするためのボタンが提供されています。
SilentRunLoader キャンペーン1 ― 初期活動
プルーフポイントは、2026年3月30日に、SilentRunLoaderとして追跡しているPythonベースのローダー兼情報窃取マルウェアを配布するキャンペーンを初めて確認しました。このキャンペーンは主に英国の組織を標的としており、VAT(付加価値税)申告、給与税関連文書、規制遵守要件に言及しながら税務当局になりすましていました。メール内に埋め込まれたURLは、ファイルホスティングサービスであるMediaFireへ受信者を誘導し、そこに実行ファイルが配置されていました。実行されると、ペイロードはSilentRunLoaderをインストールし、Google Chromeから保存済み認証情報、Cookie、閲覧情報などの機密データを収集しました。収集されたデータは、IPアドレス18[.]139[.]83[.]110に解決される「ws[.]ztts88[.]cyou」にホストされたC2インフラへ、HTTP POSTリクエストを介して送信されました。
図14:英国政府の税務当局HMRCになりすまし、MediaFire上にホストされたSilentRunLoaderペイロードへ受信者を誘導する税務関連メールのおとり
SilentRunLoader キャンペーン2
プルーフポイントは、2026年4月10日にSilentRunLoaderを配布する別のTA4922キャンペーンを確認しました。このキャンペーンは、福利厚生およびコンプライアンスをテーマにしたおとりを使用し、東南アジアおよび英国の受信者を標的としていました。おとりは政府機関や公的給付サービスになりすましていました。
メールには、URL短縮サービスであるsrt.twのURLが埋め込まれており、MediaFire上にホストされたZIPまたはRARアーカイブファイルへリダイレクトしていました。SilentRunLoaderはDLLサイドローディングによってインストールされ、以前に確認されていたC2インフラである「ws[.]ztts88[.]cyou」(IPアドレス18[.]139[.]83[.]110に解決)へChromeのデータを送信していました。
図15:短縮URLを利用してSilentRunLoaderペイロードを配布する福利厚生関連メールのおとり
次に、TA4922が使用しているマルウェアについて、より技術的な観点から詳しく見ていきます。
マルウェア分析
RomulusLoader
RomulusLoaderはC言語で作成された独自のローダーマルウェアであり、C2サーバーから追加のペイロードをダウンロードして実行するよう設計されています。主な特徴は以下のとおりです。
- セクションマッピングおよび再配置(リロケーション)処理を備えたカスタムPEローダー
- PEB/TEBの走査およびROR13ハッシュを利用した動的API解決
- 埋め込まれたペイロード(RomulusLoader PEファイル)に対するRC4暗号化
プルーフポイントの観測データにおけるキャンペーンでは、RomulusLoaderは正規の実行ファイルとVulkan Graphics APIに関連するDLLを含むZIPアーカイブ内で配布されていました。Vulkanは、高性能かつGPU操作を細かく制御できるよう設計された、低レベルでクロスプラットフォーム対応のグラフィックスおよびコンピュートAPIです。具体的には、プルーフポイントのリサーチャーが分析したRomulusLoaderのサンプルは、VulkanのサブコンポーネントであるVulkan Loaderの一部を装っていました。実行ファイルのメタデータは以下の画像のとおりです。
図16:RomulusLoaderによって悪用された正規のVulkan Loaderコンポーネントに見られるメタデータ
このEXEには、以下のPDBパスも含まれていました。
j\msdk\build\Khronos-Tools\repo\build\vulkaninfo\RelWithDebInfo\vulkaninfo.pdb
DLLには以下のメタデータが含まれていました。
図17:RomulusLoader DLLのメタデータ
このDLLファイルには、VulkanまたはAnyDeskに関連する正規コードが含まれていると考えられますが、主な目的はRomulusLoaderを実行することにあります。その動作は以下のとおりです。
1. 標的ユーザーが正規の実行ファイルを起動すると、その実行ファイルはDLL(今回の事例では「vulkan-1.dll」)と、悪意のある.binファイル(今回の事例では「vulkan-1.bin」)をサイドロードします。.binファイルには、シェルコードスタブと暗号化されたデータの塊が含まれており、最終的にRomulusLoader本体が生成されます。
2. シェルコードスタブは、必要なWindows関数のアドレスを解決します。また、ZwAllocateVirtualMemoryなどのネイティブAPI関数も解決し、これらは後続のコードのロードおよび実行に使用されます。
3. その後、シェルコードは埋め込まれたペイロードを特定します。このペイロードは以下の構造になっています。
|
オフセット 0x00: [4バイト] PEサイズ(メタデータ) |
|
オフセット 0x04: [4バイト] 暗号化されたペイロードのサイズ |
|
オフセット 0x08: [1バイト] RC4キー長 |
|
オフセット 0x09: [Nバイト] RC4キー |
|
オフセット 0x09+N: 暗号化されたPEファイル |
4. シェルコードは埋め込まれたPEファイルを復号し、それをメモリ上にマッピングした後、DLLとして実行します(DllMain関数から開始)。
5. RomulusLoader実行ファイルが起動すると、自身が管理者権限で実行されているかを確認し、永続化のためのディレクトリとして「C:\Program Files\Common Files」に、元の実行ファイル(Vulkan Loaderバイナリ)、DLL、および悪意のある.binファイルをコピーします。
6. RomulusLoaderは1つ以上の「ワーカー」を起動します。これは実質的に、自身のコードをsvchost[.]exeやdllhost[.]exeなどの別プロセスへインジェクションしたコピーです。これらのプロセスはRomulusLoaderによって起動される場合もあれば、OpenProcess関数を利用して既に実行中のプロセスへインジェクションされる場合もあります。これが行われると、RomulusLoaderは元のプロセスを終了し、ワーカープロセスが実行を継続します。このコードの例を以下に示します。
図18:RomulusLoaderのstart_workerループのコードスニペット
これらのワーカープロセスと元の親プロセスの終了は、エンドポイント防御を回避し、C2との永続的な接続を確立しようとする手法として利用されている可能性があります。
7. 「ワーカー」プロセスは、ループ内でC2通信ルーチンを実行します。これには、HTTP経由でのC2へのチェックインが含まれます。この際、C2サーバーはペイロードを返す場合があります。ペイロードの配信は標的に応じて選択的に行われているようです。C2通信機能の分析によると、ペイロードはさまざまな形式を取ることができ、少なくとも以下の実行方式がサポートされています。
- シェルコードインジェクション(WriteProcessMemoryで実行中プロセスへシェルコードを書き込み、CreateRemoteThreadで実行)
- 一時停止状態のプロセスを作成し、その後インジェクションを行う手法(プロセスホロウイング)
- ダウンロード(ディスクへ保存)および実行(指定されたURL経由)
8. RomulusLoaderがペイロードを受信すると、それを復号(XOR)し、展開(ZLib)したうえでディスクへ書き込みます(シェルコードの場合はメモリ上で直接実行します)。ある事例では、ペイロードはC:\ディレクトリに「C:\112[.]121[.]183[.]202ClientSetup.exe」として書き込まれていました。
以下は、このマルウェアの攻撃チェーンを示した図です。
図19:RomulusLoaderの動作フロー図
RomulusLoaderのシェルコードを検出またはハンティングするためのYaraルールは、こちらで公開されています。
SilentRunLoader(Vibe Codingによって作成されたPython製スティーラー/ローダー)
プルーフポイントは、TA4922がSilentRunLoaderと呼ぶ新たなコンパイル済みPython製スティーラー/ローダーを使用していることも確認しています。この名称は、内部で使用されている「silent_run_and_upload.py」という名前に由来しています。SilentRunLoaderは、追加のペイロードを密かにダウンロードして実行し、その後Chromeの機密バックアップファイルを別途C2(コマンド&コントロール)サーバーへアップロードするよう設計されています。
逆コンパイルしたPythonコードの一部を以下に示します。
図20:SilentRunLoaderのPythonコード冒頭部分のスクリーンショット
図21:マルウェアの設定情報やその他の主要機能を示したSilentRunLoaderのコードのスクリーンショット
このPythonコードは非常に基本的なもので、主に2つの目的を持っています。1つは次段階のペイロード(この事例ではcg[.]exe)をダウンロードすること、もう1つはChromeブラウザのユーザーデータのバックアップをアクターが管理するサーバーへ送信することです。ダウンロードされる実行ファイル(cg[.]exe)も別のコンパイル済みPython実行ファイルであり、Chromeのデータを収集してアーカイブにまとめる役割を担っています。その後、メインのPythonコード(SilentRunLoader)が実行されます。
このマルウェアの設定には、「your_secret_key_here」というAPIキーが含まれていますが、アクターはこれを変更していませんでした。これはLLMによって生成されたプレースホルダーであると考えられます。プルーフポイントは、TA4922がこれに類似したPython製ローダー/スティーラーを複数使用していることを確認しています。コード内のコメント、文字列、そして変更されていないハードコードされた定数などから、プルーフポイントは、このグループがLLMを利用して新たなPythonベースのマルウェアを迅速に開発している可能性が高いと高い確信を持って評価しています。
TA4922は非常に速いペースで「新しい」マルウェアを投入しているように見受けられ、このことも、その多くがVibe Codingによって作成されていると考える根拠となっています。
Atlas RAT
Atlas RATは、複数の段階で構成される高機能なバックドアであり、最終的に「コア」モジュールをダウンロードし、その後C2から要求・取得できる1つ以上の補助プラグインを利用します。Atlas RATは、そのモジュール構造や中国語話者グループとの関連性が見られる点において、Winos4.0のC2フレームワークと類似しています。
Atlas RATについては、最近Hexastrikeのリサーチャーによって詳細に文書化されているため、本稿ではマルウェアの概要のみを説明し、特に注目すべき技術や挙動に焦点を当てます。
Atlas RATは以下の機能を備えています。
- システム情報を収集してC2へ送信(偵察や標的選定に利用される可能性が高い)
- ファイルの一覧取得およびC2サーバーへのアップロード(データ窃取)
- 追加のプラグイン、モジュール、および/またはペイロードの読み込み
- 監視機能(以下を含む)
- 音声および映像(ウェブカメラ)の録音・録画
- キーロガーの起動
- クリップボードデータおよびスクリーンショットの取得
- システムのシャットダウンおよび再起動
Atlas RATは複数の段階で構成されています。
1. 標的は、正規の実行ファイルと悪意のあるDLL(Atlas RATローダー)を受け取ります。このDLLは実行ファイルのプロセス内にサイドロードされます。プルーフポイントは、悪意のあるDLLが自身(および元の実行ファイル)をユーザーのパス内の一時ディレクトリへコピーし、そこから再実行するケースを確認しています。これは、より目立たない形で動作するための工夫と考えられます。この挙動は以下のスクリーンショットで確認できます。
図22:Atlas RATローダーコードの一部を示したスクリーンショット
2. Atlas RATローダーDLLは、以下のような複数の興味深いサンドボックス回避および解析回避チェックを実行します。
- アクティブなユーザー名が「WDAGUtilityAccount」であるかを確認します。これはMicrosoft Defender Application Guardサンドボックス環境の組み込みアカウントです。
- 「CExecSvc」サービスが実行中かどうかを確認します。CExecSvc(Container Execution Service)は、Windowsコンテナ内でのプロセス管理および実行を可能にするコンテナ実行エージェントです。このサービスが存在する場合、マルウェアはコンテナ環境で実行されていると判断します。
- ネットワークアダプターのDNSサフィックスが「mshome」であるかを確認します。これはHyper-Vやその他の仮想環境で使用されることがある既定のサフィックスです。
- システム上に「vmsmb」デバイスが存在するかを確認します。存在する場合、マルウェアは仮想マシン上で実行されている可能性があると判断します。
- Windows OSのUUIDを確認します。これによりWindowsがライセンス認証されているかどうかを判断できます。多くのサンドボックスや解析環境では、Windowsが正規に認証されていません。
- Windows Defender Application Guard(WDAG)に関連する「WDAG」RunOnceレジストリキーの存在を確認します。
これらのチェックのいずれかに失敗した場合、マルウェアは自身が敵対的な環境で実行されていると判断し、自動的に終了します。アンチサンドボックスチェックの後、マルウェアはシェルコードをメモリ上にロードします。
図23:Atlas RATローダーの機能を示すスクリーンショット
3. マルウェアは、SysWhispersを利用した直接システムコール(syscall)によって、シェルコード用のメモリを確保し、それを実行します。このシェルコードはDLL内に格納された小さな暗号化データであり、マルウェアの次段階をダウンロードするために必要なWindows API関数(WSAStartup、socket、connect、send、receiveなど)のアドレスを解決します。シェルコードの最後の約329バイトには、多段階のXOR復号ルーチンが含まれており、Atlas RATのコアモジュールをダウンロードするためのC2アドレスを復号します。
図24:Atlas RATのシェルコード内にあるXOR復号ルーチンの一部
4. その後、Atlas RATローダーDLLはC2へ接続し、次段階のペイロードをダウンロードします。ローダーは「SFuck」という文字列に続いて3バイトのNULL値を付加した、非常に特徴的なチェックイン要求を送信します。
図25:この特徴的な文字列を含むSend呼び出しバッファをマルウェアサンドボックスで確認した例
通信が成功すると、C2は次段階であるAtlas RATコアモジュールを返します。
5. Atlas RATコアモジュールは別のDLLで構成されており、少なくともプルーフポイントが確認したサンプルでは「AtlasInfo」というエクスポートアドレスを持っています。AtlasInfoエクスポート関数が実行されると、コアモジュールは設定構造を解析し、それをユーザーのDocumentsディレクトリ内のファイルとしてディスクに書き込みます。設定内容は以下のとおりです。
[Setting]
LoginAddress=3200300036002e003200330038002e003100310035002e0035003800 LoginPort=380038003600 REMARK=d89ea48b0759e86c GROUPS=d89ea48b0652c47e Time=32003000320036002d0033002d0036002000310032003a0032003800 SIGN=660035003500630039003600370065002d0066003200370034002d0034006400340066002d0062006100300064002d00660035003500330064003200350032003900640064003100
この設定は16進数でエンコードされており、デコードすると以下のようなデータになります(例)。
|
設定値 |
説明 |
|
206[.]238[.]115[.]58 |
LoginAddress(C2のIPアドレス) |
|
886 |
LoginPort(C2ポート) |
|
ؤYèl |
GROUPS(ビルドIDまたはアフィリエイトIDである可能性が高い) |
|
ؤRÄ~ |
REMARK(キャンペーンIDのような値である可能性が高い) |
|
2026-3-6 12:28 |
Time(感染時刻) |
|
f55c967e-f274-4d4f-ba0d-f553d2529dd1 |
SIGN(一意の被害者IDとして使用) |
6. Atlas RATはその後、C2サーバーへの接続を試みます。接続に成功すると、マルウェアはシステム情報を収集し、ChaCha暗号アルゴリズムで暗号化してC2へ送信します。sysinfo構造体は以下のようになります(例データ)。
図26:Atlas RATがC2へ送信するsysinfo構造体(例のみ)
マルウェアは、エンドポイント上のカメラと音声(録音および出力)デバイスも確認し、そのデータをC2へ送信します。
図27:Atlas RATの音声入力/出力デバイス確認コードのスクリーンショット
7. Atlas RATは、C2との接続状態を維持します。ユーザーが現在システムをアクティブに使用しているかを(GetLastInputInfo呼び出しを通じて)継続的に確認し、その状態に変化があれば、現在の状態をC2へ送信します。
図28:Atlas RATのユーザーアクティビティ確認コードのスクリーンショット
8. Atlas RATは上記の処理をループで継続します。マルウェアクライアントは、C2からの命令またはデータを待機します。プルーフポイントが観測したサンプルのコード分析に基づくと、以下のコマンドがマルウェアクライアントおよびC2パネルでサポートされていると評価しています(これはバージョンや亜種によって変更される可能性があります)。
|
コマンドコード |
説明 |
|
0x11 |
ハートビート/タイミング同期 |
|
0x12 |
プラグインDLLの読み込みと実行 |
|
0x13 |
ペイロードDLLのインジェクション(今回の事例ではWeChat.exeへDLLを注入) |
|
0x14 |
ペイロードDLLのアンロード |
|
0x15 & 0x16 |
設定の更新 |
|
0x17 |
マルウェアのアンインストール |
|
0x18 |
プロセス確認(指定名のプロセスが実行中かを確認) |
|
0x19 |
ウィンドウ確認(指定タイトルのウィンドウが存在するかを確認) |
|
0x1A |
シャットダウン/再起動 |
|
0x1D |
URLからペイロードをダウンロード |
|
0xC8 & 0xC9 |
不明ですが、プラグインモジュールのダウンロードと検証に関連している可能性があります |
分析中、C2からの後続ペイロードは確認されませんでした。しかし、コードにはAtlas RATがモジュール型であることを示す証拠があり、追加モジュールがダウンロードされる可能性があると考えています。
Winos4.0の分析
Winos4.0は、よく文書化されたC2フレームワークです。このフレームワークによって生成されるペイロードは、プルーフポイントではValleyRATと呼んでいますが、公開レポートではこれらの用語が同義で使われることもあります。これはモジュール型で高機能なリモートアクセス型トロイの木馬であり、以下のような多くの機能を備えています。
- 追加のモジュールおよびペイロードをダウンロードする機能
- ファイル管理(ディスク上のファイルの読み取り、削除、作成)
- ウェブカメラおよびマイクの制御
- リモートシェルアクセスおよびコマンド実行
- キーロギング
- DDoS攻撃のサポート(「ストレステスト」モジュール経由)
GitHubにはWinos4.0のバージョンが存在するため、これは大部分がオープンソースであり、誰でも利用できます。そのため、リサーチャーは設定がわずかに異なるさまざまな亜種やバージョンのWinos4.0を観測する傾向があります。プルーフポイントは、TA4922が異なるWinos4.0の変種を使用していることも確認しています。例として、2026年初頭には、このグループが標準的なWinos4.0マルウェアの新しい変種を使用していることを確認しました。復号後のマルウェア設定は以下のとおりです。
|A16A6736FB5DC030EF3|A1:aeya388[.]club|o1:7880|t1:1|S2:aeya388[.]club|o2:7881|t2:1|p3:aeya388[.]club|o3:7881|t3:0|dd:10|cl:30|fz:̄ψ|bb:11171030|bz:2025.11.20|jp:0|bh:0|ll:0|dl:0|sh:0|kl:0|bd:0|
この設定は他のWinos4.0の設定と概ね似ていますが、1つ注目すべき点があります。それは、C2リストの前に付く文字列の追加です。この文字列(ある事例では“A16A6736FB5DC030EF3”)は、バイナリに保存された設定を復号するRC4キーであり、キャンペーン識別子として使われている可能性があります。
マルウェアのバイナリには、16進数のデータブロブが含まれています。
3FE030CD5BF6376A61A184A6DC6007584E2F61DCC0C5E44159C45EBF60E3C41F47FA4CD320ADEB17E619A1B593A541B72CC87E261BA9E9C3ECE124B32D4520172C23EACC15C68CDE848DAD61D8A7048413E6A7D51301DD8D4BB661D3E22F0D2BCD3208FECC11AF193C07A2F7BB42324F4F380B8FAE032C6A358AECC87EA5A3035138D26DFEE743A94908979E0E4E21DB6F81E0E3BE12F323D599393BC496FAE730D8154619B79CDF0ADC55C0B6CA68EC8954F0DE88A864A618294F02D895398A486AD0C1E879A
先頭の19文字は、設定データを復号するRC4キーです(「184A...」で始まるバイト列から開始)。この設定を復号するために使用できるCyberchefのレシピは以下のとおりです。
図29:このWinos4.0変種の設定を復号するためのCyberchefレシピ
このコード変更に加えて、プルーフポイントのリサーチャーは、この新しいWinos4.0変種と他の変種との間に、いくつかの重要なコード差異も確認しました。注目すべき相違点は以下のとおりです。
- コードベースが大幅に複雑化していること(確認した他のWinos4.0サンプルの71倍の大きさ)。ただし、その多くは肥大化した無駄なコードや未使用コードである可能性が高いです。アクターは、基本的なエンドポイント防御スキャンを回避するために、意図的にコードを肥大化させた可能性があります。
- 設定がバイナリ内で完全に暗号化されています(RC4使用)。他の多くのWinos4.0サンプルでは、設定構造体は部分的にしか暗号化されていません。
- モジュールのダウンロード、インプラントのインジェクション、C2通信にいくつかの違いがありますが、多くの他の挙動は類似しています。
プルーフポイントでは、このWinos4.0のバージョンを頻繁には観測していません。Winos4.0は多くの他のリサーチ機関によって文書化されているため、本ブログではWinos4.0についてこれ以上詳述しません。ここでこの点に触れたのは、このグループが使用しているマルウェアの変種の多さを改めて示すためです。
推奨事項
TA4922および本レポートで説明したマルウェアに対抗するため、プルーフポイントは以下を推奨します。
- 信頼されたディレクトリに対してアプリケーションの許可リストを徹底する
- %TEMP%、%APPDATA%などの一時ユーザーパス・ディレクトリからの実行を防止または監視する
- 「C:\」のようなシステムパスやルートディレクトリに書き込まれた実行可能ファイルを監視する
- 許可リストに含まれていないプロセスについては、1234のような非標準または不要なポート宛てのネットワーク通信を防止または監視する
- 最小権限の原則を徹底し、ローカル管理者権限を制限する
結論
TA4922は現在、プルーフポイントの脅威データで追跡しているサイバー犯罪アクターの中で最も多様なキャンペーンを展開しており、高い活動頻度、多様なおとり、そして複数の目的を示しています。このアクターは金銭的動機に基づいて活動していると評価されていますが、そのマルウェアが備える機能には監視活動に利用可能なものも含まれており、スパイ活動グループによって利用されたり、そうしたグループに販売されたりする可能性があります。
プルーフポイントは当初、このアクターが東アジアの組織を標的としていることを確認しましたが、その後、特に2026年に入ってからは多くの欧州諸国へと標的範囲を拡大しています。このアクターは高度に組織化されているように見え、標的ごとに最適化されたおとりを使用しており、誤った対象へキャンペーンを配信することはほとんどありません(例えば、日本の受信者を標的にイタリア語のおとりを使用するようなことは確認されていません)。
このアクターのグローバルな活動実態は、組織が地理的な標的範囲に関係なく、新たに出現する複雑な脅威に注意を払う必要があることを示しています。この種のアクターは、いつでも迅速に活動を拡大し、より多くの標的を攻撃対象に加える可能性があります。
IoC(Indicator of Compromise : 侵害指標)
|
インジケーター |
説明 |
初回確認日 |
|
206.238.115.58 |
Atlas RAT C2 |
6 March 2026 |
|
a648db354820ea4d02940cb1702b35974513b7aae83f6dffaacaac4ba31f9295 |
ZIP archive (【給与調整のお知らせ】.zip) delivering Atlas RAT |
6 March 2026 |
|
584a9448dda46bd590d7a2f86228100d2ae6e0d6d990c1a4459ed5ee28e07ae8 |
Atlas RAT DLL (libcef.dll) |
6 March 2026
|
|
154.211.86.110 |
Atlas RAT C2 |
2 April 2026 |
|
66a3836b9a17771bce2161f6b73cbc2494a91e49d6aa30d2d53711e8d10de60d |
ZIP archive (Paperwork.zip) delivering Atlas RAT |
2 April 2026 |
|
4fcfa88fffacbce30bbe2136753c9ab5a4c092940d2406fd9d44d5118e745b9d |
ZIP archive (HR (2).zip) delivering Atlas RAT |
2 April 2026 |
|
a75eab31d7ff06b6864960ad7e633be3f9730ff3d3873e4539c8f425fc632dad |
Atlas RAT DLL (libcef.dll)
|
2 April 2026 |
|
43.156.77.97 |
RomulusLoader C2 |
23 March 2026 |
|
40b41979b317406f8abc601677a3b93aaf6ef8ab8ac188b8f383735e388f13b5 |
RAR archive (会社文書.rar) delivering RomulusLoader |
23 March 2026
|
|
8c9b6542f73c5c7fe455b52f5101314407da4f65ff48e7ebf6896605e607c8d0 |
RomulusLoader DLL (vulkan-1.dll) |
23 March 2026 |
|
3119cf37b8267db8a2dcd11d9a83d5237d7ef1e42388e7c9afa2831b91da8a2d |
RomulusLoader component (vulkan-1.bin) |
23 March 2026 |
|
https://nwphotoblog[.]com |
URL used in RomulusLoader / SyncFuture campaign which hosted a landing page with download button |
16 April 2026 |
|
103.214.172.33 |
RomulusLoader First-stage C2 |
16 April 2026 |
|
314f4b59535d1b783e1c20c2be00f9e30f8ed27b2e21fad06a73b47ea43279ef |
RomulusLoader / SyncFuture ZIP (Alles in dem schuppen.zip) |
16 April 2026 |
|
2d2a251a88632f010fd9671789746908eeccaa5bc5c0a5d25e4649efe4f5b15d |
RomulusLoader / SyncFuture executable (Alles in dem schuppen.exe) |
16 April 2026 |
|
0857148fb0bc4aa7adf967ede2307bdb4fc427065d5b6a6db132688a5a8e1eb8 |
RomulusLoader / SyncFuture DLL (teamspeak_control.dll) |
16 April 2026 |
|
https://ws.ztts88[.]cyou/file/cg[.]exe |
SilentRunLoader download URL |
30 March 2026 |
|
https://ws.ztts88[.]cyou/upload[.]php |
SilentRunLoader data exfiltration URL |
30 March 2026 |
|
e0a6a71c605d9a4076147e9537f82f79f1e1eccadc874595160aa4637ff4088c |
SilentRunLoader Executable SHA256 |
30 March 2026 |
|
18[.]139[.]83[.]110 |
SilentRunLoader data exfiltration IP |
30 March 2026 |
|
de82998ad5fcd63deae030803388e0fb4290d6223fda82368fd25b99b823f0d2 |
SilentRunLoader ZIP SHA256
|
10 April 2026 |
|
9d0a55c545c4147956db2c2667c4ed931a2875309147548b1dfdd216228f5f73 |
SilentRunLoader Executable SHA256 |
10 April 2026 |