New Stealthy Malware Hijacking Cisco, TP-Link, and Other Routers for Remote Control
2025/08/26 gbhackers — Cisco/TP-Link などの重要インフラ・デバイスを標的とする、高度なマルウェア攻撃キャンペーンを、FortiGuard Labs が発見した。この Gayfemboy マルウェアは、新たな Mirai 亜種であり、高度な回避技術とマルチ・プラットフォーム対応の機能を備えている。すでに、DrayTek/TP-Link/Raisecom/Cisco などの脆弱性を悪用し、バックドア・アクセスと分散型サービス拒否 (DDoS) 攻撃の機能を備えた、永続的なボットネット・インフラを構築している。
重要インフラを提供する複数ベンダーを攻撃
Gayfemboy マルウェアの攻撃キャンペーンを最初に発見したのは、中国のサイバー・セキュリティ研究者たちである。それ以降においても、活動が大幅に拡大しているため、2025年7月から FortiGuard Labs が追跡を開始した。
このマルウェアの標的は DrayTek Vigor /TP-Link Archer AX21/Raisecom MSG/Cisco Identity Services Engine (ISE) などのネットワーク・インフラ機器である。その攻撃ベクターは 87[.]121[.]84[.]34 から発信され、配信されるペイロードは 220[.]158[.]234[.]135 でホストされている。
このキャンペーンの影響は世界規模のものとなり、ブラジル/メキシコ/米国/ドイツ/フランス/スイス/イスラエル/ベトナムなどの組織が標的とされている。業種別に見ると、製造/テクノロジー/建設/メディア/通信などが対象とされている。このマルウェアが標的とする脆弱性は 10種類以上におよび、その中には、DrayTek の CVE-2020-8515/TP-Link の CVE-2023-1389/Raisecom の CVE-2024-7120 や、先日に公開された Cisco ISE の CVE-2025-20281 も含まれる。
高度なマルウェア回避機能
Gayfemboy は、高度な分析回避メカニズムと難読化技術により、従来の Mirai 亜種とは一線を画している。具体的には、標準 UPX パッキング・ヘッダを改変し、認識可能な UPX! シグネチャを、認識できない 16 進数値に置き換えて検出を回避している。
また、アーキテクチャ固有の命名規則を採用し、xale (x86-64 用識別子)/aale (AArch64 用識別子) といった識別子を割り当てる。このマルウェアは、4種類のモジュールを備えている。
- Monitor:分析回避技術を実装しながら、スレッドとプロセスを追跡し、セキュリティ・ツールや競合するマルウェアを終了させる。
- Watchdog:UDP ポート・バインディングと自己監視メカニズムにより、持続性を確保する。
- Attacker:UDP /TCP SYN/ICMP フラッドなどによる、DDoS 攻撃を実行する。
- Killer:時間チェックとリモート kill コマンド機能により、自己防御を強化する。
このサンドボックス回避は、仮想環境における長時間スリープへと移行する際の、50 nano 秒単位の正確なタイミング遅延により実現される。C2 インフラは “cross-compiling[.]org” や “i-kiss-boys[.]com/furry-femboys[.]top” など複数ドメインを利用し、DNS 解決は “8.8.8.8” などのパブリック・リゾルバを介して、ローカル・フィルタリングを回避している。また、15 個の事前定義ポートを体系的にスキャンし、ネットワーク制限下でも接続を確保する。
Fortinet の防御策
Fortinet が、FortiGuard サービスに実装するのは、Gayfemboy キャンペーンに対する多層化された防御である。FortiGate/FortiMail/FortiClient/FortiEDR などのプラットフォーム上のアンチウイルスは、このマルウェアを BASH/Dloader.P!tr/BASH/Agent.CSQ!tr.dldr/ELF/Mirai.CSQ!tr/ELF/Mirai.GFB!tr として検出する。Web フィルタリングは C2 ドメインをブロックし、すべての悪用された脆弱性への保護は、IPS シグネチャにより提供される。
ユーザー組織にとって必要なことは、影響を受けるシステムへの優先的なパッチ適用であり、特定された C2 インフラに対する包括的なネットワーク監視の実施である。FortiGuard IP レピュテーション・サービスは、世界中のセキュリティ・パートナーとの連携による脅威インテリジェンスを通じて、攻撃元をプロアクティブにブロックする。
さらに Fortinet が推奨するのは、セキュリティ意識とインシデント対応能力を強化するための、無料で提供される Fortinet Certified Fundamentals サイバー・セキュリティ・トレーニングの受講である。
侵害の兆候 (IoCs):
| Type | Value |
|---|---|
| IP | 141[.]11[.]62[.]222 |
| IP | 149[.]50[.]96[.]114 |
| IP | 220[.]158[.]234[.]135 |
| IP | 78[.]31[.]250[.]15 |
| IP | 5[.]182[.]206[.]7 |
| IP | 5[.]182[.]204[.]251 |
| Domain | cross-compiling[.]org |
| Domain | i-kiss-boys[.]com |
| Domain | furry-femboys[.]top |
| Domain | twinkfinder[.]nl |
| Domain | 3gipcam[.]com |
新たな Mirai 亜種が、DrayTek/TP-Link/Raisecom/Cisco といったベンダーの脆弱性を突いています。過去に公開されていたリモート・コード実行や認証回避の欠陥が十分に修正されず、依然として多くの環境で使われているところに原因があります。これらを足がかりとする攻撃者は、バックドア設置や DDoS 攻撃を可能にするボットネットを構築していると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Mirai で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.