Malware – IoT OT Security News

Maven Central からのマルウェア配信を検出：名前空間に対する巧妙なタイポスクワッティング

Hackers Infiltrated Maven Central Masquerading as a Legitimate Jackson JSON Library

2025/12/30 CyberSecurityNews — Maven Central で確認されたのは、正規の Jackson JSON ライブラリのエクステンションを装う新たなマルウェア攻撃である。Java 開発者たちが最も信頼するリポジトリである Maven Central 上で、タイポスクワッティングを介したマルウェアの拡散が検知された。この悪意のパッケージは、名前空間 “org.fasterxml.jackson.core/jackson-databind” を介して公開されている。正規の Jackson ライブラリは “com.fasterxml.jackson.core” 名前空間で提供されているが、悪意のパッケージは “org.fasterxml.jackson.core” を使用するという、巧妙な名前空間の偽装が図られている。

WebRAT マルウェア・キャンペーン：GitHub 上の偽の脆弱性情報と PoC を通じて拡散

WebRAT malware spread via fake vulnerability exploits on GitHub

2025/12/23 BleepingComputer — GitHub リポジトリを通じて配布される、最近公開された脆弱性の PoC エクスプロイトには、WebRAT マルウェアを拡散するための、悪質なキャンペーンも紛れ込んでいるという。WebRAT というマルウェアは、情報窃取機能を備えたバックドアとして、今年の初めに特定されたものだ。これまでは Roblox／Counter Strike／Rust などのゲーム向け海賊版ソフトウェアやチート・ツールを通じて拡散されてきたが、その拡散経路に GitHub が加わったことになる。

Office の脆弱性 CVE-2018-0802 が標的：Cloud Atlas 攻撃キャンペーンの感染チェーンを分析

Cloud Atlas Exploits Office Vulnerabilities to Execute Malicious Code

2025/12/19 gbhackers — Microsoft Office の旧来の脆弱性を悪用する Cloud Atlas 脅威グループは 2014年から活動しており、東ヨーロッパおよび中央アジアの組織に対して高度な攻撃を実施し、深刻なリスクをもたらし続けている。このグループにおける攻撃手段の拡張と感染チェーンの進化は、2025年上半期を通じてセキュリティ研究者により追跡および分析されてきた。その結果、これまで不明であったスクリプトおよび攻撃手法が明らかになった。

React2Shell を悪用する大規模な攻撃：KSwapDoor／ZnDoor などの Linux バックドアを拡散

React2Shell Vulnerability Actively Exploited to Deploy Linux Backdoors

2025/12/16 TheHackerNews — React2Shell (CVE-2025-55182 ) として知られるセキュリティ脆弱性を悪用する脅威アクターたちが、KSwapDoor／ZnDoor などのマルウェア・ファミリーを拡散していることを、Palo Alto Networks Unit 42 と NTT Security の調査結果が示している。Palo Alto Networks Unit 42 の Senior Manager of Threat Intel Research である Justin Moore は、「KSwapDoor は、ステルス性を念頭に設計された、リモート・アクセス・ツールである」と述べている。

React2Shell を悪用する PCPcat：CVE-2025-55182／29927 を悪用して59,000+ 台のサーバを侵害

New PCPcat Exploiting React2Shell Vulnerability to compromise 59,000+ Servers

2025/12/15 CyberSecurityNews — PCPcat と呼ばれる新たなマルウェア攻撃キャンペーンは、Next.js／React フレームワークの深刻な脆弱性を標的とするものであり、48 時間以内に 59,000 台以上のサーバに侵入している。この Next.js 環境を標的とするマルウェアは、認証なしでリモート・コード実行を可能にする、２つの深刻な脆弱性 CVE-2025-29927 と CVE-2025-55182 (CVE-2025-66478) を悪用している。この攻撃の手法は、プロトタイプ汚染およびコマンド・インジェクションを用いるものであり、脆弱なサーバ上で有害なコマンド実行を可能にする。

React2Shell に対する Google の警告：React／Next.js を標的とするマルウェア拡散キャンペーン

Google Warns Multiple Hacker Groups Are Exploiting React2Shell to Spread Malware

2025/12/13 CyberSecurityNews — Google Threat Intelligence Group (GTIG) が発表したのは、React Server Components に存在する深刻なセキュリティ脆弱性 CVE-2025-55182 が広範に悪用されている状況に対する警告である。この脆弱性 React2Shell を悪用する攻撃者は、パスワードを必要とせず、リモートからサーバを制御できる。2025年12月3日に脆弱性が公開された後に、複数のハッカー・グループが悪用していることを Google は確認している。攻撃者たちは、国家に支援されるスパイ・グループから、金銭的利益を目的とするサイバー犯罪者まで多岐にわたる。

VS Code に悪意のパッケージ：DLL ハイジャックにより開発者の機密情報を盗み出す

Researchers Find Malicious VS Code, Go, npm, and Rust Packages Stealing Developer Data

2025/12/09 TheHackerNews — Microsoft Visual Studio Code (VS Code) マーケットプレイスに存在し、開発者のマシンに情報窃取型マルウェアを感染させる２つの新たなエクステンションが、サイバー・セキュリティ研究者たちにより発見／報告された。これら悪意の VS Code エクステンションは、プレミアム・ダークテーマや人工知能 (AI) 搭載のコーディング・アシスタントを装うが、実際には追加ペイロードのダウンロード／スクリーンショットの撮影／データ窃取といった隠れた機能を秘めている。それにより収集された情報は、攻撃者が管理するサーバに送信される。

Foxit PDF Reader を装うマルウェア：偽の求人情報を介して ValleyRAT マルウェアを展開

Threat Actors Leveraging Foxit PDF Reader to Gain System Control and Steal Sensitive Data

2025/12/04 CyberSecurityNews — 悪意のファイルを正規の採用書類に偽装するサイバー犯罪者たちが、求職者のコンピュータにマルウェアを潜入させるために巧妙な手法を用いている。ValleyRAT と呼ばれる新たな攻撃キャンペーンは、偽の求人情報や企業資料を添付したメール・メッセージを通じて、求職活動中の人々を標的としている。この攻撃キャンペーンの主な手口は、人気の Foxit PDF Reader の武器化と悪用にある。

カレンダー・サブスクを悪用する脅威アクター：フィッシング攻撃やマルウェアを配布の盲点になっている

Threat Actors Exploit Calendar Subscriptions for Phishing and Malware Delivery

2025/11/29 InfoSecurity — デジタル・カレンダーのサブスク・インフラを操作する脅威アクターが、有害コンテンツを配布していることが判明した。誰もが知っているように、カレンダーをサブスクすれば、サードパーティがイベントを追加し、その通知がユーザーのデバイスで共有される。それにより、小売業者によるバーゲン日程や、スポーツ観戦の日程などが配信されている。

Google Meet の偽ページによるマルウェア攻撃：ClickFix 手法で悪意のペイロードを配信

Beware of Weaponized Google Meet Page uses ClickFix Technique to Deliver Malicious Payload

2025/11/29 CyberSecurityNews — 偽の Google Meet ランディングページを通じてリモート・ワーカーや組織を標的とする、高度なマルウェア攻撃が確認された。この攻撃は、偽装ドメイン “gogl-meet[.]com” 上で展開され、ClickFix と呼ばれるソーシャル・エンジニアリング手法でブラウザのセキュリティ制御を迂回し、リモート・アクセス型トロイの木馬 (RAT：Remote Access Trojan) を被害者のシステムに直接送り込むものである。

SocGholish による RomCom ペイロードの配信を確認：偽のアップデートで騙して Mythic Agent を展開

RomCom Uses SocGholish Fake Update Attacks to Deliver Mythic Agent Malware

2025/11/26 TheHackerNews — RomCom として知られるマルウェア・ファミリーを背後で操る脅威アクターは、SocGholish と呼ばれる JavaScript ローダーを介して Mythic Agent を配信している。Arctic Wolf Labs の研究員 Jacob Faires は 11月25日 (火) のレポートで、「SocGholish による RomCom ペイロードの配信が確認されたのは、今回が初めてのことだ。その標的は、米国の土木工学関連の企業である」と述べている。

新たな ClickFix キャンペーン EVALUSION：Amatera Stealer と NetSupport RAT を配布

New EVALUSION ClickFix Campaign Delivers Amatera Stealer and NetSupport RAT

2025/11/17 TheHackerNews — 世界に蔓延する ClickFix ソーシャル・エンジニアリング戦術を用いて、Amatera Stealer と NetSupport RAT を展開するマルウェア・キャンペーンを、サイバー・セキュリティ研究者たちが発見した。今月に確認された新たな活動は、eSentire が EVALUTION という名称で追跡している。

Xanthorox AI が生成する多様なマルウェア：安全制限を排除した悪意の LLM が拡散

Threat Actors can Use Xanthorox AI Tool to Generate Different Malicious Code Based on Prompts

2025/11/17 CyberSecurityNews — ダークネット・フォーラムや犯罪コミュニティで注目を集めている危険な新ツールを、サイバー・セキュリティ研究者たちが確認した。このツールは、Xanthorox と呼ばれる悪意の人工知能プラットフォームであり、セキュリティ業界にとって深刻な懸念材料となっている。ChatGPT のようなチャットボットとして動作する Xanthorox であるが、最も大きな違いは、安全上の制限が一切存在しないところにある。

XWiki の脆弱性 CVE-2025-24893：RondoDox などの参戦と攻撃のピーク

RondoDox Exploits Unpatched XWiki Servers to Pull More Devices Into Its Botnet

2025/11/15 TheHackerNews — パッチ未適用の XWiki インスタンスを標的とするボットネット・マルウェア RondoDox が、深刻なセキュリティ欠陥を突き、任意のコード実行を可能にしていることが確認された。問題の脆弱性 CVE-2025-24893 (CVSS：9.8) は、評価インジェクションのバグである。このバグを悪用するゲスト・ユーザーは、”/bin/get/Main/SolrSearch” エンドポイントへのリクエストを通じて、任意のリモート・コード実行を可能にする。すでに XWiki のメンテナたちは、2025年2月下旬の時点でバージョン 15.10.11／16.4.1／16.5.0RC1 をリリースし、この問題に対処している。

Booking.com を偽装して宿泊客を狙う I Paid Twice 詐欺：ClickFix 経由で PureRAT 感染

“I Paid Twice” Scam Infects Booking.com Users with PureRAT via ClickFix

2025/11/07 hackread — Sekoia が公表したのは、ホテルの運営者を標的とし、その後に宿泊客を狙うという、広範かつ継続的なサイバー犯罪活動の詳細である。このサイバー脅威の検知／対応企業による調査は、宿泊施設の顧客を標的とするフィッシング・キャンペーンを、同社のパートナーが報告したことから始まった。予約代金をホテルと犯罪者の双方に支払わされた被害者のメール件名にちなみ、この報告は “I Paid Twice (二重支払い)” と命名された。

ClickFix の進化する手口を検出：オンライン販売業者のページを模倣してユーザーを欺く

Attackers upgrade ClickFix with tricks used by online stores

2025/11/07 HelpNetSecurity — ClickFix の手法を進化させる攻撃者が、オンライン販売業者を模倣するページで被害者に圧力をかけ、マルウェア感染につながる手順を実行させるという手口が発見された。それらのページに配置されるのは、要求された操作を説明するチュートリアル動画／操作完了までの残り時間を示すカウントダウン・タイマー／過去１時間に認証を行ったユーザー数を表示するカウンターなどであり、いずれもユーザーに考える余地を与えずに、迅速な行動を促すことを目的としている。

PROMPTFLUX という新型マルウェア：Gemini API を悪用して自身のコードを動的に書き換える

Google Warns of New PROMPTFLUX Malware Using Gemini API to Rewrite Its Own Source Code

2025/11/06 CyberSecurityNews — Google Threat Intelligence Group (GTIG) が公開したのは、Gemini API を悪用して自身のコードを動的に書き換える実験的なマルウェア・ファミリー PROMPTFLUX の詳細である。2025年11月4日に GTIG が発表した最新の AI Threat Tracker レポートによると、このマルウェアの形態が示すのは、単なる生産性向上ツールとして LLM の利用から、リアルタイムでの適応と検知回避のための LLM の直接統合へと、その手法が移行していることだ。

情報窃取マルウェア Vidar Stealer 2.0：Lumma を凌駕するブラウザ認証情報取得の新手法とは？

Vidar Stealer Exploits: Direct Memory Attacks Used to Capture Browser Credentials

2025/10/22 gbhackers — 2025年10月6日にサイバー犯罪者 Loadbaks は、Vidar Stealer v2.0 のリリースをアンダーグラウンド・フォーラムで発表した。この新バージョンは、メモリへのマルウェアの直接注入により、最新ブラウザのセキュリティ対策を回避する。この高度な情報窃取マルウェアは、C++ から純粋な C 実装への移行によりアーキテクチャを全面的に刷新し、パフォーマンスとステルス性を向上させている。今回のリリースの背景には、Lumma Stealer の活動量の低下があると思われる。それが示唆するのは、脅威環境の変化に適応するサイバー犯罪者たちが、より効果的な代替手段を積極的に模索している状況である。

Winos 4.0 の脅威が日本とマレーシアに拡大：PDF ファイル経由でマルウェアを配布

Winos 4.0 hackers expand to Japan and Malaysia with new malware

2025/10/18 SecurityAffairs — Winos 4.0 (ValleyRAT) を背後で操る脅威アクターが、台湾財務省の文書を装う PDF ファイルを介してマルウェアを配布しているが、その攻撃範囲が中国／台湾から日本／マレーシアへと拡大しているという。この攻撃者は、HoldingHands RAT (別名 Gh0stBins) を用いて、悪意のリンクを埋め込んだ PDF ファイルを、フィッシング・メールを通じて展開していた。

TikTok Video で拡散するマルウェア：自己コンパイルで検出を回避して PowerShell を実行

Hackers Using TikTok Videos to Deploy Self-Compiling Malware That Leverages PowerShell for Execution

2025/10/17 CyberSecurityNews — TikTok を悪用するサイバー犯罪者たちは、無料のソフトウェア・アクティベーションを装いながら危険なペイロードを配信するという、高度なマルウェア・キャンペーンを展開している。この攻撃は、 ClickFix 手法を彷彿とさせるソーシャル・エンジニアリング戦術を利用するものであり、何も知らないユーザーを騙して、システム上で悪意の PowerShell コマンドを実行させるものだ。

Stealit マルウェアの新たな活動を確認：Node.js 機能の悪用とWindows システムの標的化

New Stealit Malware Exploits Node.js Extensions to Target Windows Systems

2025/10/11 gbhackers — 実験的な Node.js 機能を悪用して Windows システムを感染させる新たな Stealit マルウェアの活動を、セキュリティ研究者が確認した。FortiGuard Labs のレポートによると、この攻撃者は Node.js の Single Executable Application (SEA) 機能を用いて、悪意のペイロードをパッケージ化して配布している。この新たな戦術は、Electron フレームワークに依存していた、従来の Stealit バージョンからの転換を示している。このマルウェアは、Mediafire や Discord などのファイル共有プラットフォームを経由し、人気ゲームや VPN ソフトウェアのインストーラーを装いながら拡散している。

WordPress を標的とする次世代 ClickFix：キャッシュ・スマグリングでステルス性を向上

Hackers Exploit WordPress Sites to Power Next-Gen ClickFix Phishing Attacks

2025/10/08 TheHackerNews — WordPress サイトを標的とする悪質な JavaScript インジェクション攻撃キャンペーンについて、サイバー・セキュリティ研究者たちが注意を喚起している。この攻撃は、怪しいサイトへとユーザーをリダイレクトするよう設計されている。Sucuri の研究者 Puja Srivastava は、先週公開された分析の中で、「悪意のサイトへの訪問者は、偽の Cloudflare 認証のようなドライブ・バイ・マルウェアのコンテンツを挿入される」と述べている。

TamperedChef マルウェア・キャンペーン：PDF Editor を装う長期潜伏型の攻撃

TamperedChef Malware Disguised as PDF Editor Hijacks Browser Credentials and Opens Backdoors

2025/10/06 gbhackers — TamperedChef と呼ばれる高度なマルウェア・キャンペーンが、正規の PDF Editor アプリを装うことで欧州の組織への侵害に成功したと、WithSecure の Strategic Threat Intelligence & Research Group (STINGR) が発表した。このキャンペーンが示すのは、説得力ある広告戦略と完全に機能するルアー・アプリを用いる脅威アクターが、機密認証情報を窃取し、永続的なバックドア・アクセスを確立した手法である。

GitHub にホストされたマルウェア：Malwarebytes／LastPass／Citibank／SentinelOne などを装う手口とは？

Weaponized Malware: GitHub Hosts Malware from Malwarebytes, LastPass, Citibank, SentinelOne, and More

2025/09/24 gbhackers — Mac ユーザーを標的とする大規模な攻撃キャンペーンで、偽の GitHub ページが悪用され、人気の正規アプリケーションを装う情報窃取マルウェアが拡散された。偽装されたソフトウェアに含まれていたのは、Malwarebytes for Mac／LastPass／Citibank／SentinelOne などの、数多くの有名ブランドである。ブランドへの成りすまし自体は目新しいものではないが、今回の攻撃キャンペーンが示した戦術の進化は、サイバー犯罪者がユーザーを誘導して有害なコードをインストールさせる手口にある。

ShadowV2 キャンペーン：AWS Docker と DevOps を悪用する DDoS-as-a-Service

ShadowV2 Botnet Infects AWS Docker Containers to Launch DDoS Campaign

2025/09/24 gbhackers — Darktrace の最新調査により、従来型マルウェアと DevOps テクノロジーを組み合わせる攻撃キャンペーンが確認された。この攻撃の中心には、GitHub CodeSpaces でホストされる Python ベースの C2 (Command and Control) フレームワークが存在する。脅威アクターは、Python スプレッダーにより開始される多段階の Docker デプロイを悪用し、その後に、RESTful な登録／ポーリング機構を持つ Go ベースの RAT を展開するという。

SonicWall SMA デバイスの OVERSTEP ルートキット対策：緊急パッチによるマルウェア除去

SonicWall Issues Emergency Patch to Remove ‘OVERSTEP’ Rootkit Malware on SMA Devices

2025/09/24 gbhackers — SonicWall SMA アプライアンス上に残存する OVERSTEP コンポーネントを、特定／削除するためのパッチには、強化されたファイル整合性チェックが導入されている。また、今回の更新により SMA システムは、将来における同様のカーネル・レベル脅威に対する防御が強化されるという。

IIS Server を介した SEO ポイズニング：BadIIS という巧妙なモジュールを検出

Hackers Hijacking IIS Servers Using Malicious BadIIS Module to Serve Malicious Content

2025/09/23 CyberSecurityNews — Operation Rewrite と呼ばれる高度なサイバー攻撃が、Microsoft の Internet Information Services (IIS) の Web サーバを乗っ取り、SEO ポイズニングと呼ばれる手法を用いて悪意のあるコンテンツを提供するという攻撃を活発化させている。2025年3月の時点で、この状況を検知した Palo Alto Networks は、BadIIS と呼ばれる悪意の IIS モジュールを使用する、中国語圏の脅威アクターによる攻撃であると、高い確度で結論付けている。

AI 搭載マルウェア MalTerminal の発見：GPT-4 を悪用してランサムウェアを生成

First-ever AI-powered ‘MalTerminal’ Malware Uses OpenAI GPT-4 to Generate Ransomware Code

2025/09/20 CyberSecurityNews — MalTerminal と呼ばれる AI 搭載マルウェアは、OpenAI の GPT-4 モデルを悪用することでランサムウェアやリバースシェルなどのコードを動的に生成し、脅威の開発と展開の方法に重大な変化をもたらしている。この発見は、AI 搭載マルウェア PromptLock の分析に続くものであり、攻撃者が大規模言語モデル (LLM) を武器化する明確な傾向を示している。

Ivanti EPMM に展開されているマルウェア：標的とされる脆弱性を CISA が分析

CISA Analyzes Malware From Ivanti EPMM Intrusions

2025/09/19 SecurityWeek — 米国のサイバー・セキュリティ機関である CISA は、Ivanti Endpoint Manager Mobile (EPMM) の２つの脆弱性を標的とする、マルウェアに関する技術情報を公開した。その対象となる脆弱性 CVE-2025-4427 (CVSS：5.3)／CVE-2025-4428 (CVSS：7.2) は、ハッカーたちによる攻撃で悪用された後の、2025年5月13日に公表された。

Ivanti EPMM の脆弱性 CVE-2025-4427／4428 を武器化：CISA が警告するマルウェアとは？

CISA Alerts of Hackers Targeting Ivanti Endpoint Manager Mobile Vulnerabilities to Distribute Malware

2025/09/19 gbhackers — Ivanti EPMM (Endpoint Manager Mobile) に存在する、深刻な脆弱性 CVE-2025-4427 (認証バイパス)／CVE-2025-4428 (コードインジェクション) を武器化したサイバー脅威アクターたちが、侵害したサーバ上に高度なローダーとリスナーを展開している。このマルウェアを構成する２つのコンポーネントは、Loader 1 (web-install.jar／ReflectUtil.class／SecurityHandlerWanListener.class) と、Loader 2 (web-install.jar／WebAndroidAppInstaller.class) であり、Apache Tomcat 環境に任意コードを挿入して永続性を維持するよう設計されている。

AWSDoor によるコンフィグ・ベースの永続化手法：AWS 環境内にマルウェアを隠蔽

AWSDoor – New Persistence Technique Allows Attackers to Hide Malware Within AWS Cloud Environment

2025/09/16 CyberSecurityNews — 攻撃者たちは、クラウド環境への長期的アクセスを維持するために、高度な手法を活用している。そして、新たに登場した AWSDoor という手口が、強大な脅威になり始めている。この悪意のツールは、IAM およびリソース・ベースの永続化手法を自動化し、従来からのマルウェアを配備することなく、AWS アカウント内に潜み続ける。

EvilAI というマルウェアを検出：LLM を用いて生成され静的シグネチャ・スキャナを回避

EvilAI: Leveraging AI to Steal Browser Data and Evade Detection

2025/09/12 gbhackers — Trend Research が追跡する新たなマルウェア・ファミリー EvilAI が、この数週間にわたり、正規の AI 駆動型ユーティリティを装いながら活動している。これらのトロイの木馬は、プロフェッショナルなユーザー・インターフェイスや有効なコード署名に加えて実際の機能を備えており、企業／個人のセキュリティ対策を回避していく。

ToneShell の最新亜種を検知：Scheduler COM を悪用する Mustang Panda グループの戦略とは？

New ToneShell Variant Uses Task Scheduler COM Service to Maintain Persistence

2025/09/12 gbhackers — ToneShell の最新の亜種は、Windows Task Scheduler COM サービスを悪用する戦術により、永続化における顕著な進化を示している。これまでは、この軽量バックドアは、DLL サイド・ローディング手法で配信されていたが、新たな機能として高度な永続化メカニズムと解析回避を搭載しており、セキュリティ・チームにとって大きな課題が生じている。Intezer のサイバー・セキュリティ研究者たちが確認した、ToneShell バックドアの新亜種は、中国拠点の Mustang Panda グループにおける攻撃手段の進化を示すものである。

人気の npm パッケージ 18種類にマルウェア侵害：それらの総ダウンロード数は 20億回／週

Hackers Hijack 18 Popular npm Packages Downloaded Over 2 Billion Times Weekly

2025/09/09 gbhackers — 毎週 20億回以上もダウンロードされている、きわめて人気の高い npm パッケージ 18個をハッカーが乗っ取り、暗号通貨のユーザーと開発者を標的とする高度なマルウェアを注入しているという。Aikido のレポートによると、9月8日の早朝にセキュリティ・フィードが警告したのは、chalk／debug／chalk-template／supports-color などの人気パッケージ 18個が迅速に更新され、悪意のコードにより汚染されたことだ。

X の Grok AI が手助け：ブロックを回避して悪質な広告やマルウエアを展開する手法とは？

Threat actors abuse X’s Grok AI to spread malicious links

2025/09/03 BleepingComputer — X に搭載されている AI アシスタント Grok を悪用する脅威アクターが、このプラットフォームが悪質広告の抑制を目的として導入した、リンク投稿への制限を回避している。Guardio Labs の研究員 Nati Tal によると、この広告主はアダルト・コンテンツなどの怪しい動画広告を掲載することが多く、意図的に本文にリンクを取り込まず、X によるブロックを迂回しているという。

Python マルウェア Inf0s3c Stealer が新登場：Discord チャネル経由で Windows データを窃取

New Stealthy Python Malware Leverages Discord to Steal Data From Windows Machines

2025/09/03 CyberSecurityNews — Python ベースの高度な情報窃取マルウェア Inf0s3c Stealer が、サイバー・セキュリティ分野に登場した。このマルウェアは、Discord チャンネルを介してデータを窃取する、先進的な機能を実現している。具体的に言うと、従来からのシステム偵察技術と、現代的な通信プラットフォームを、組み合わせるように設計されている。それにより検出を回避しながら、侵害した Windows システムからホスト識別子／CPU 情報／ネットワークコンフィグ／ユーザーデータなどの機密情報を、体系的かつ効率的に収集する包括的なグラバーとして機能している。

新たな ClickFix 攻撃を検出：AnyDesk を装い MetaStealer マルウェアを拡散

New ClickFix Attack Mimic as AnyDesk Leverages Windows Search to Drop MetaStealer

2025/09/02 CyberSecurityNews — 新たに検出された ClickFix の亜種が、正規の AnyDesk インストーラーを装いながら、情報窃取マルウェア MetaStealer を拡散している。この攻撃者は、偽の Cloudflare Turnstile 認証ページを介してユーザーを誘導し、細工された Windows プロトコル・ハンドラを実行させるものだ。そして最終的には、PDF に偽装された悪意の MSI パッケージを配信していく。

AppSuite PDF Editor を装うバックドア：Windows システムを侵害して任意のコマンドを実行

AppSuite PDF Editor Exploit Lets Hackers Run Arbitrary Commands

2025/08/29 gbhackers — AppSuite PDF Editor に巧妙なバックドアを仕掛けた脅威アクターは、Windows システムを侵害し、任意のコマンドを実行できる状況にあった。そのインストール動作を疑問視した AppSuite は、潜在的に迷惑なプログラムとしてフラグ付けしていたが、難読化されていた悪意のコンポーネントが分析されたことで、その本質が明らかになった。

武器化された PuTTY が Bing で配布：永続化されたバックドアから Kerberos と AD を攻撃

Weaponized PuTTY Via Bing Ads Exploit Kerberos and Attack Active Directory Services

2025/08/26 CyberSecurityNews — Microsoft Bing 上のスポンサード検索結果を悪用する、マルバタイジング・キャンペーンにより武器化された PuTTY が配信されている。この悪意の PuTTY は、永続性を確立し、キーボードによる操作を可能にするものであり、Active Directory サービス・アカウントを標的とする Kerberoasting 攻撃を実行できる。LevelBlue の MDR SOC が公開した調査結果によると、検索広告と SEO ポイズニングを介して配布された、トロイの木馬化された管理ツールに関連する Oyster／Broomstick バックドア追跡調査により、悪意の PuTTY 展開が裏付けられているという。

新たな Mirai 亜種が登場：Cisco／TP-Link などの脆弱性を標的に DDoS 攻撃を実行

New Stealthy Malware Hijacking Cisco, TP-Link, and Other Routers for Remote Control

2025/08/26 gbhackers — Cisco／TP-Link などの重要インフラ・デバイスを標的とする、高度なマルウェア攻撃キャンペーンを、FortiGuard Labs が発見した。この Gayfemboy マルウェアは、新たな Mirai 亜種であり、高度な回避技術とマルチ・プラットフォーム対応の機能を備えている。すでに、DrayTek／TP-Link／Raisecom／Cisco などの脆弱性を悪用し、バックドア・アクセスと分散型サービス拒否 (DDoS) 攻撃の機能を備えた、永続的なボットネット・インフラを構築している。

YouTube 動画の偽ダウンロード・サイトで DigitalPulse／Honeygain／Infatica の亜種が拡散：新たなプロキシウェア脅威とは？

Proxyware Malware Poses as YouTube Video Download Site, Delivering Malicious JavaScript

2025/08/26 gbhackers — YouTube 動画の偽ダウンロード・ページを介して、プロキシウェア・マルウェアを拡散する攻撃が継続的に行われていることを、AhnLab Security Intelligence Center (ASEC) のサイバー・セキュリティ研究者たちが発見した。正規の動画ダウンロード・サービスを模倣する攻撃者は、WinMemoryCleaner などの正規のツールを装う悪意の実行ファイルを、ユーザーにインストールさせるよう促す。この攻撃者は、GitHub をマルウェアのホスティングに悪用するという、過去の事例と共通する手口を採用しており、特に韓国で感染が拡大している。

Google Play からダウンロードされた悪意のアプリは 1,900 万＋：バンキング・トロイの木馬 Anatsa を調査

Malicious apps with +19M installs removed from Google Play because spreading Anatsa banking trojan and other malware

2025/08/25 SecurityAffairs — Anatsa (Tea Bot) というバンキング・トロイの木馬の感染調査において、Zscaler の ThreatLabz が発見したのは、合計で 1,900 万回以上もインストールされた、77 個の悪意の Android アプリの存在である。複数の Anatsa デコイ・アプリは、それぞれが５万回以上ダウンロードされている。これらの悪意のアプリから、Google Play ユーザーへと、複数のマルウェア・ファミリが配信されていた。

QuirkyLoader などの戦略を検証：Agent Tesla／AsyncRAT／Snake Keylogger の配信経路を整理する

Hackers Using New QuirkyLoader Malware to Spread Agent Tesla, AsyncRAT and Snake Keylogger

2025/08/21 TheHackerNews — QuirkyLoader という新たなマルウェア・ローダーの詳細が、サイバー・セキュリティ研究者たちにより公開された。このローダーは、2024年11月からスパム・メール・キャンペーン経由で展開されており、InfoStealer から RAT (remote access trojans) にいたる、次世代のマルウェア・ペイロードの配信で利用されている。

PipeMagic マルウェアが ChatGPT アプリを偽装：Windows の脆弱性 CVE-2025-29824 を悪用

PipeMagic Malware Imitates ChatGPT App to Exploit Windows Vulnerability and Deploy Ransomware

2025/08/19 gbhackers — PipeMagic マルウェアを背後で操るのは、金銭目的の脅威アクター Storm-2460 だとされており、常に変化し続けるサイバー脅威の顕著な例を示している。このマルウェアは、GitHub 上の正規のオープンソース ChatGPT デスクトップ・アプリケーションを装っている。この高度なモジュール式のバックドアは、Windows の Common Log File System (CLFS) における、権限昇格の脆弱性 CVE-2025-29824 を悪用し、標的型攻撃を容易にするものだ。

WinRAR のゼロデイ CVE-2025-8088 が FIX：フィッシングを介した RomCom マルウェア配信で悪用

WinRAR 0-Day in Phishing Attacks to Deploy RomCom Malware

2025/08/11 CyberSecurityNews — WinRAR に発見された深刻なゼロデイ脆弱性を悪用する攻撃者は、高度なフィッシング攻撃を通じて RomCom マルウェアを拡散させている。悪意のアーカイブ・ファイルを配信する攻撃者は、この脆弱性 CVE-2025-8088 (CVSS v3.1：8.4) を悪用することで、被害者のシステム上で任意のコード実行を可能にする。

SVG ファイルによるフィッシング攻撃：埋め込まれた悪意の JavaScript でマルウェアを実行

Hackers Weaponizing SVG Files With Malicious Embedded JavaScript to Execute Malware on Windows Systems

2025/08/07 CyberSecurityNews — Scalable Vector Graphics (SVG) ファイルを、高度な攻撃ベクターとして悪用し始めたサイバー犯罪者たちは、無害に見える画像ファイルをフィッシング攻撃ツールへと変化させ、Windows システム上で悪意の JavaScript 実行を可能にしている。この脅威は、SVG ファイルの XML ベース構造を利用し、ユーザーのデフォルト Web ブラウザ上で悪意のファイルが開かれる際に、そこに埋め込まれたスクリプトを実行することで、従来からのセキュリティ対策を回避していく。

マルウェアの複雑さを定量化：89 万回以上のスキャンから得られた悪意の行動テレメトリとは？

Malware Complexity Jumps 127% in Six Months

2025/08/06 InfoSecurity — サイバー攻撃の標的に対して、脅威アクターが用いるツールセットが急速に進化しており、これまでの６ヶ月の間に、マルウェアの複雑性が 127% も増加したと、重要インフラに特化するサイバー・セキュリティ企業 OPSWAT が述べている。

JPEG を武器化する北朝鮮の APT37：多段階攻撃によりmspaint などのプロセスに悪意のコードを挿入

APT37 Hackers Weaponizes JPEG Files to Attack Windows Systems Leveraging “mspaint.exe”

2025/08/04 CyberSecurityNews — 北朝鮮の APT37 (Reaper) グループによる、洗練された新しいサイバー攻撃の波が確認されている。この攻撃は、JPEG イメージ・ファイルに埋め込まれた高度なマルウェアを用いて、Microsoft Windowsシステムを侵害するものであり、セキュリティ回避戦術およびファイル・レス攻撃手法の進化を示す事例でもある。

CISA が公表した OSS プラットフォーム Thorium：マルウェア／フォレンジック分析を支援

CISA open-sources Thorium platform for malware, forensic analysis

2025/07/31 BleepingComputer — 2025年7月31日 (木) に米国の CISA が発表したのは、マルウェア／フォレンジック用の OSS プラットフォーム Thorium を、政府／公共部門／民間部門へ向けて公開するという声明である。この Thorium は、スケーラブルなサイバー・セキュリティ・スイートであり、サンディア国立研究所との提携により開発されたものである。

Cobalt Strike Beacon を展開するキャンペーンを発見：標的国がロシアから日本／中国などへと拡大

Hackers Deploy Cobalt Strike Beacon Using GitHub and Social Media

2025/07/30 gbhackers — ロシアなどの IT 業界に混乱をもたらす、高度なサイバー攻撃キャンペーンの存在が確認されたが、そこでは Cobalt Strike Beacon が展開され、高度な検出回避技術が駆使されているという。このキャンペーンを背後で操る攻撃者は、GitHub／Microsoft Learn Challenge／Quora に加えて、ロシアの SNS などのプラットフォーム上のユーザー・プロファイル内に、ペイロード情報を巧妙に隠している。つまり、悪意のデータを、正当なユーザーが生成するコンテンツに混在させることで、この攻撃者はセキュリティ検出の回避を試みている。この手法により、広く使用されるポスト・エクスプロイト・ツール Cobalt Strike の、複雑な実行チェーンの構築が可能になっている。