Security Bug in StealC Malware Panel Let Researchers Spy on Threat Actor Operations
2026/01/19 TheHackerNews — 情報窃取マルウェア StealC の運用者が使用する Web ベース管理パネルに、クロスサイト・スクリプティング (XSS) の脆弱性が存在することを、サイバーセキュリティ研究者たちが明らかにした。この脆弱性を通じて研究者たちは、StealC を運用する脅威アクターの活動に関する重要な情報を収集できた。先週公開されたレポートにおいて CyberArk の研究者 Ari Novick は、「この脆弱性を活用することで、StealC システムのフィンガープリントを収集し、アクティブなセッションを監視し、さらに情報窃取を目的として設計された悪意のインフラから、脅威アクター自身の Cookie を窃取することに成功した」と述べている。
StealC は、2023年1月に発見された情報窃取マルウェアであり、Malware-as-a-Service (MaaS) モデルとして提供されている。この展開モデルにより、YouTube を主要な配布手段として活用する利用者は、人気ソフトウェアのクラック版を装う形で悪意のプログラムを拡散できる。この現象は YouTube Ghost Network と呼ばれている。
これまでの 1 年間で確認されてきたものには、不正な Blender Foundation ファイルや、FileFix と呼ばれるソーシャル・エンジニアリング手法を介しての、スティーラーの配布もある。その一方で、StealC 自体も継続的に更新されており、Telegram ボットによる通知送信機能/ペイロード配信機能の強化/管理パネルの再設計が実施された。この更新版は StealC V2 というコードネームで呼ばれている。
それから数週間が経ったころ、このマルウェアの管理パネルのソースコードが漏洩した。この結果として研究コミュニティが得たのは、脅威アクターのコンピュータに関する特性である。具体的には、大まかな位置情報の指標や、ハードウェアの詳細を特定できるようになり、さらには、研究者自身のマシンから脅威アクターのアクティブなセッション Cookie を取得できたという。
この管理パネルに存在する XSS 脆弱性の、具体的な技術詳細は公開されていない。その理由は、StealC の開発者に対する情報の遮断と、模倣犯による新たなスティーラー MaaS サービスの立ち上げの防止にある。
XSS 脆弱性は、クライアントサイド・インジェクションの一種だとも言える。それにより、侵害された Web サイトが読み込まれる際に、被害者の Web ブラウザ上での悪意の JavaScript 実行が可能になる。この問題は、不適切なユーザー入力やエンコードに起因し、Cookie 窃取/なりすまし/機密情報へのアクセスを、脅威アクターに許すものとなる。
Ari Novick は、「StealC グループの中核ビジネスは、Cookie 窃取であると考えられる。StealC の開発者は Cookie に精通しており、httpOnly などの基本的な Cookie セキュリティ機能を実装し、研究者が XSS 経由で Cookie を窃取できないようにしていると予想される。その一方で、皮肉なことに、大規模な Cookie 窃取を前提としたこのオペレーションは、教科書的な攻撃に対して自らのセッション Cookie を保護できていなかった」と述べている。
さらに CyberArk は、YouTubeTA (YouTube Threat Actor の略) と呼ばれる StealC の顧客に関する詳細を共有した。この脅威アクターは、Google の動画共有プラットフォームを広範に悪用し、Adobe Photoshop/Adobe After Effects のクラック版を宣伝することで StealC を配布していた。その結果として、390,000 件の窃取したパスワードと 3,000 万件以上の Cookie を含む、5,000 件以上のログを蓄積していた。これらの Cookie の大半は、トラッキング Cookie や非機密 Cookie などであると評価されている。
これらの活動から推測されるのは、正規の YouTube アカウントを乗っ取った脅威アクターが、それらを悪用してクラック・ソフトウェアを宣伝し、自己増殖型の配布メカニズムを構築していた可能性である。また、ClickFix に類似した偽の CAPTCHA を用いた誘導手法により、StealC が配布されている証拠も確認されており、感染経路が YouTube に限定されていないことが示唆されている。
さらなる詳細な解析により判明したのは、この管理パネルが複数ユーザーを作成できる点であり、管理者ユーザーと一般ユーザーを明確に区別していることである。YouTubeTA のケースでは、管理者ユーザーは 1 名のみであり、その人物は Apple M3 プロセッサを搭載したマシンを使用し、言語設定は英語とロシア語であったとされている。
脅威アクターにとっての運用上のセキュリティ失策と評価されるインシデントとして、2025年7月中旬頃に確認されたのは、このアクターが仮想プライベート・ネットワーク (VPN) を介さずに StealC 管理パネルへ接続していたことである。その結果として露呈した実際の IP アドレスは、ウクライナのプロバイダである TRK Cable TV に関連付けられた。この調査結果が示すのは、YouTubeTA が単独で活動している脅威アクターであり、ロシア語圏である東欧地域に所在していることだ。
この研究は、MaaS エコシステムがもたらす影響も浮き彫りにしている。MaaS エコシステムは、短期間における大規模な攻撃の展開を可能にする一方で、一般的な企業が直面している同様のセキュリティ・リスクに、脅威アクター自身をさらす要因にもなっている。
CyberArk は、「StealC の開発者は、Cookie セキュリティと管理パネルのコード品質の両面で弱点を示しており、その顧客に関する多くのデータを収集できた。さらに、この傾向が他のマルウェア販売アクターにも当てはまるのであれば、研究者や法執行機関は同様の欠陥を活用して、多数のマルウェア運用者の実態を把握することで、その正体を特定する可能性が得られる」と結論付けている。
皮肉なことに、情報を盗み出すマルウェア StealC を管理する Web 画面に、情報を盗み出されてしまう深刻な欠陥が見つかりました。この問題の原因は、管理画面のプログラムにクロスサイト・スクリプティング (XSS) という、外部からの入力を安全に処理できない不備が存在していたことにあります。具体的には、調査を行っていた研究者が特定のコードを送り込むと、そのまま実行してしまうという隙がありました。この弱点を突かれたことで、普段は他人の情報を盗んでいる犯罪者自身が、自分のログイン情報 (Cookie)/コンピュータの場所/使用している機種などの情報を盗まれるという結果になりました。他人の情報を盗むことを商売にしている脅威アクターが、自分たちの足元にある基本的なセキュリティ対策を怠っていたことが、今回の事態を招いたといえます。なお、この問題に関連する CVE 番号などは、さらなる “悪用” を防ぐため、現時点では公開されていません。よろしければ、Info Stealer での検索結果を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.