AppSuite-PDF/PDF Editor の戦術:26種類のコード・サイニング証明書を悪用

AppSuite-PDF, PDF Editor Operators Exploited 26 Code-Signing Certificates to Fake Legitimacy

2025/09/15 gbhackers — AppSuite-PDF/PDF Editor キャンペーンを分析したところ、その開発者は、これまでの7年間で少なくとも 26種類のコード・サイニング証明書を悪用し、BaoLoader と呼ばれるマルウェアの正当性を高めていたことが判明した。以前、このマルウェアは迷惑プログラム (PUP:potentially unwanted programs) に分類されていたが、最近の調査と明白な詐欺との関連性から、分類の見直しと厳格な監視が必要となっている。

この脅威アクターは、コード・サイニング証明書を悪用し、正規の企業を装いながらセキュリティ対策を回避している。

彼らは、オンラインでの存在感がほとんどないダミー会社を登録することで、DigiCert/GlobalSign/SSL.com/Entrust/Sectigo などの信頼されている認証局から証明書を取得する。

これらの証明書には、インストーラーの暗号化ハッシュが埋め込まれており、また、対象となるソフトウェアは改竄されていないため、信頼できるプロバイダーから提供されているという誤った確信を植え付けている。

CertCentral.org との共同調査により特定されたのは、パナマ/マレーシア/米国、英領バージン諸島などの 24 の企業に発行された、26 の固有の証明書である。これらの証明書は、BaoLoader コンポーネントの署名にのみ使用されていた。

稀なことであるが、この攻撃者は同じ組織 ID に対して、異なる発行者から 11 回にわたって複数の証明書を取得していた。それが示すのは、再販された証明書を購入するのではなく、自ら証明書の取得を画策したという明確な証拠である。

証明書を介したキャンペーンの連携

AppSuite-PDF/PDF Editor インストーラーは、便利な生産性向上ツールを装っているが、永続的なバックドアを仕掛けている。

AppSuite-PDF は、PDF Editor アプリをダウンロード/インストールするための、シンプルなアプリであり、ユーザーに対して PDF 編集の環境を提供する。


“GLINT SOFTWARE SDN. BHD”/”ECHO INFINI SDN. BHD”/”Summit Nexus Holdings LLC” などの署名者名は、2025 年半ばから VirusTotal の提出情報に繰り返し登場している。

また、”Apollo Technologies Inc”/”Caerus Media LLC”/”Onestart Technologies LLC” などの証明書群は、OneStart インストーラーの署名に使用されていた。これらのインストーラーには、PDF Editor ペイロードが秘密裏にバンドルされている。

これまでのキャンペーンでは、同じ脅威アクターが “Digital Promotions Sdn. Bhd”/”Eclipse Media Inc”/”Astral Media Inc”/”Blaze Media Inc などの ID を使用して、”ZoomSetup”/”FreeManuals”/”Launch Browser” などの名称で、偽装された Web Companion インストーラーや PUP を配布していた。

これらのすべてのアーティファクトは、一貫したバージョン命名規則 (例:-vX.X.XXXX.X) により BaoLoader と結び付けられている。

表面的な類似点としては、証明書の不正使用/Chrome エクステンション・ローダー/スケジュール・タスク/node.exe の使用などがあるが、BaoLoader が示すのは証明書における独自の地理的な分布であり、パナマ/マレーシア/米国の発行者を好んでいる。

それとは対照的に、Chromeloader の証明書は、主としてイスラエル/ドイツ/英国/スロベニアから発行されており、証明書のシリアル番号や組織に重複はない。別のトロイの木馬キャンペーンである TamperedChef は、ウクライナと英国の企業の証明書を使用し、隠された HTML 文字を組み込むことで秘密のコマンド・チャネルを開設している。これは、BaoLoader フローには見られない手法である。

こうした誤認により、インシデント対応と法執行機関の取り組みが阻害されるリスクがあるため、正確な命名の必要性が強調される。Chromeloader や TamperedChef と、BaoLoader は明確に区別されており、混同すべきではない。

防御側への影響

コード署名証明書の悪用は、強力な回避手法となる。つまり、信頼のシグナルを証明書の存在だけに頼る組織には、悪意のソフトウェアをインストールするリスクが生じることになる。

防御側の対策として必要になるのは、証明書の出所チェック/同じ署名者に対して新規または複数の証明書が出現した場合の異常検出/ CA との連携による迅速な失効対応などである。

AppLocker などのアプリケーション・ホワイトリスト・ソリューションは、署名されていないファイルや信頼されていない署名付きファイルをブロックする。また、脅威ハンティングでは、コミュニティが管理する証明書ブロック・リストが活用されている。

CertCentral.org が保有している、1,500 件を超える悪用証明書のデータベースは、検出と修復のための重要なリソースとして機能する。

BaoLoader による、数年にわたる攻撃が浮き彫りにするのは、PUP 型マルウェアの巧妙な進化と、証明書エコシステムの継続的な監視の必要性である。

脅威アクターがなりすまし戦略を洗練させていくにつれて、防御側にとって必要になるのは、信頼性の高い指標として証明書のメタデータと署名パターンを扱うことである。

BaoLoader というマルウェアが正規の証明書を悪用して、信頼性を装っている状況が明らかにされました。その原因となるのは、悪意の開発者が複数の認証局からコード署名証明書を取得し、それをマルウェアに適用していたことです。本来は、安全性を保証するための署名が、逆に利用されてしまいました。証明書の仕組みを逆手に取る戦術であり、利用者が正規ソフトと誤認してしまうリスクを高めるものです。よろしければ、2025/08/29 の「AppSuite PDF Editor を装うバックドア:Windows システムを侵害して任意のコマンドを実行」も、ご参照ください。