AppSuite PDF Editor を装うバックドア:Windows システムを侵害して任意のコマンドを実行

AppSuite PDF Editor Exploit Lets Hackers Run Arbitrary Commands

2025/08/29 gbhackers — AppSuite PDF Editor に巧妙なバックドアを仕掛けた脅威アクターは、Windows システムを侵害し、任意のコマンドを実行できる状況にあった。そのインストール動作を疑問視した AppSuite は、潜在的に迷惑なプログラムとしてフラグ付けしていたが、難読化されていた悪意のコンポーネントが分析されたことで、その本質が明らかになった。

この脅威アクターは、高評価の PDF ツール Web サイトを悪用し、正規の生産性向上アプリケーションを装う偽の MSI インストーラーを配布していた。

これらのサイトは、以前の JustAskJacky などのトロイの木馬に類似する手口により、WiX でビルドされた MSI パッケージのダウンロードへと被害者を誘導する。

悪意のインストーラーが実行されると、”vault.appsuites.ai” から Electron ベースの PDF Editor がユーザー・プロファイルに取得され、”–cm=–fullupdate” スイッチを使用するスケジュールが構成され、永続性が確立される。

この侵害のコアは、取り込まれたバックドア・ロジックなどを難読化する、JavaScript ファイル “pdfeditor.js” にある。

そのサポート・ファイルには、スケジュールされたタスクを介して、永続化を確立するためのヘルパー DLL “UtilityAddon.node” と、レジストリに自動実行エントリを追加する NSIS ベースのバイナリが取り込まれている。

The GUI of PDF editor is actually a browser window.
The GUI of PDF editor is actually a browser window.

難読化が解除された 3,661 行のうち、PDF Editor GUI に関連するものは 17 行のみであり、残りの行はバックドア・ルーチンを駆動していた。

コマンドライン・スイッチと “wc routines”

AppSuite は、ユーザー向けのスイッチ (–install/–ping/–check/–reboot/–cleanup) を “wc routines” に変換し、それにより、インストール/クリーンアップ/コンフィグ・ポーリング/コマンド実行などを処理する。

それらと同様に、”–partialupdate” と “–fullupdate” スイッチは、C2 (Command and Control) サーバに接続して、コンフィグ/ブラウザの認証情報/任意のコマンド・テンプレートを取得し、それらをホスト上で実行する。

一般向けの “–install” ルーチンの実行中に、このバックドアは UtilityAddon DLL を介してシステム識別子 (SID) を取得し、それらを “appsuites.ai/api/s3/new” にホストされる C2 サーバに登録し、インストール ID と SID をエンコードされた LOG1 ファイルに保存する。

続いて、インストール ID 文字列から、すべての “-” を削除して、処理済みインストール ID の最初の 0x10 バイトに “276409396fcc0a23” を連結することで暗号化キーを作成する。

Deobfuscated code for AES-128-CBC encryption and the encrypted ActionRequest struct.
Deobfuscated code for AES-128-CBC encryption and the encrypted ActionRequest struct.

さらに、2つのスケジュールされたタスクが作成される。1つは1日後に “–partialupdate” をトリガーするタスクであり、もう1つは “–ping” を繰り返して実行するタスクである。それにより、サンドボックスの時間制約を回避してステルス性を確保する。

アンインストーラーによって呼び出される –cleanup ルーチンは、インストールをサーバから登録解除し、スケジュールされたタスクを削除する。

なお、実行時に作成される追加タスクと残存するバックドア・アクセスにより、正規のアンインストーラーは効果を発揮しない。したがって、完全な修復には、不正なパーシスタンスを排除するためにシステムを再構成する必要がある。

C2 提供のテンプレート

最も深刻な機能は、”–check” ルーチンと “–reboot” ルーチンに存在している。このバックドアは、タイミング制約を検証した後に、”sdk.appsuites.ai/api/s3/options” および “…/config” から暗号化されたコマンド・テンプレートを取得することで、検出を回避している。

これらのテンプレートにより、感染システム上でのレジストリ変更/ブラウザ設定の操作/追加マルウェアの起動などの、任意のコマンドをダイレクトに実行できる。

追加されるハンドラーは、Chromium/OneLaunch/Wave Browser などのカスタム・アプリケーションを標的としている。

これらのハンドラーは、ユーザー設定を盗み出し、UtilityAddon DLL を介して保存された認証情報を復号し、ローカル・コンフィグ・ファイルを上書きする。また、レジストリ・キーは、永続性維持やセキュリティ・ツール無効化のために変更/追加される。

AppSuite PDF Editor は、紛れもなく悪意のあるアプリであり、機能的な PDF エディターに対して、フル機能のバックドアを組み合わせている。

セキュリティ・ベンダーにとって必要なことは、疑わしい “生産性向上ツール” を厳重に監視することである。また、AppSuite 感染に遭遇した組織は、再パッチを適用し、感染したマシンを完全に削除する必要がある。

無料の PDF エディターに対する需要は高いが、今回のインシデントが浮き彫りにするのは、トロイの木馬化されたソフトウェアへの、ベンダーとユーザーによる警戒の重要性である。

AppSuite PDF Editor を装う悪意のアプリが、実は高度なバックドアとして動作していたことを説明する記事です。正規の PDF Editor 機能を装いながら、内部に難読化された JavaScript や DLL を仕込み、システムに永続的なタスクやレジストリ変更を行えるように設計されていたと、この記事は指摘しています。アプリケーションのダウンロード元には、十分に ご注意ください。よろしければ、カテゴリ Malware も、ご参照ください。