研究者がStealC運営陣をハッキング、コントロールパネルを乗っ取る

nosa

2026.01.19

研究者がStealC運営陣のハッキングに成功、マルウェアのコントロールパネルを乗っ取る

BleepingComputer – January 16, 2026

情報窃取型マルウェア「StealC」のオペレーターが使うWebベースのコントロールパネルにクロスサイトスクリプティング（XSS）の脆弱性が存在し、これを利用した研究者が攻撃者のハードウェアに関する情報収集に成功したと報じられている。

StealCは2023年初頭に出現したインフォスティーラーで、回避能力の高さと広範なデータ窃取能力によってサイバー犯罪者の人気を集めている。ここ数年で機能の強化が図られており、昨年3月リリースのバージョン2.0ではリアルタイムアラート用のTelegramボットサポートに加え、テンプレートとカスタムデータ窃取ルールに基づきStealCビルドを生成できる新しいビルダーが導入された。

しかし、同時期に管理パネルのソースコードが流出したことで、アイデンティティセキュリティ企業CyberArkの研究者チームはStealCの解析に着手。XSS脆弱性も発見したため、これを使って攻撃者のブラウザとハードウェアのフィンガープリントを収集し、アクティブセッションを監視した上でセッションクッキーを盗み出すことに成功したという。これにより、リモートでパネルセッションをハイジャックすることが可能になったとされる。

CyberArkの報告によると、攻撃者はApple M3ベースのシステムを使い、言語に英語とロシア語、タイムゾーンに東ヨーロッパをそれぞれ設定。さらにウクライナ経由でインターネットにアクセスしていたことがわかっている。StealCのオペレーターに対策を講じられないよう、XSS脆弱性の詳細は明らかにされていない。

ヨルダン籍の初期アクセスブローカー、50組織への攻撃支援で有罪認める

The Record – January 17th, 2026

ヨルダン国籍の男が15日、サイバー犯罪フォーラムを通じて少なくとも50組織のネットワークへのアクセスを販売した容疑で罪を認めた。

Feras Albashiti被告（40歳）はアクセスデバイスに関する詐欺および関連行為の罪で起訴され、最高10年の拘禁刑を求刑された。判決は今年5月に言い渡される予定。裁判所の文書によると、FBIの潜入捜査官が同被告と初めて連絡を取ったのは2023年5月とされ、名称非公開のサイバー犯罪フォーラムで別件の捜査中だったという。

ユーザー名「r1z」で活動していた同被告は、まず潜入捜査官にペンテストツールのクラック版を販売した後、2件の異なるファイアウォールのエクスプロイトを通じて50組織へのアクセスを5,000ドルで販売。そして2023年9月までに、異なる3つのブランドのエンドポイント検知・対応ツール（EDR）を無効化する強力なマルウェア（EDRキラー）を提供したとされる。FBIはその1つに1万5,000ドルを支払ったようだ。

FBIによると、このマルウェアは「新しく、被害者のコンピューターネットワークへの侵入に非常に効果的と思われる」とのこと。r1zのサイバー犯罪フォーラムアカウントに紐づくメールアドレスがAlbashiti被告の米国ビザ申請で使われたものだったことや、同マルウェアのテスト中にAlbashiti被告のIPアドレスが浮かび上がったことにより、追跡に成功したと説明されている。このIPアドレスは米国の製造会社に約5,000万ドルの損害を与えた2023年6月のランサムウェア攻撃にも使われたことがわかっているが、米検察は企業名を明らかにしていない。

Albashiti被告は起訴当時、ジョージアのトビリシに居住しており、2024年7月に米国へ送還。数か月にわたって複数の弁護士を交代させた後、ようやく司法取引に応じ、50組織へのアクセス権を販売したことを認めた。

なお、2022年にはファイアウォール大手メーカーFortinetがr1zに関するレポートを公開しており、この脅威アクターが「CVE-2022-26134として追跡されているConfluenceの認証されていないリモートコード実行（RCE）の重大な脆弱性を悪用し、取得した50台の脆弱なConfluenceサーバーへのアクセスだけでなく、1万台以上の脆弱なConfluenceサーバーのリストを保有していると主張している」と警告していた。