中国関連バックドアSprySOCKSのWindows版をESETが発見

中国関連バックドアSprySOCKSのWindows版をESETが発見

CyberInsider – Jun 16, 2026

かつてはLinuxのみを標的としていたとされるバックドア「SprySOCKS」のWindows版亜種「WIN_DRV」および「WIN_PLUS」を、ESETの研究者らが発見。これらのバックドアは、中国との繋がりが指摘されるサイバースパイグループ「FishMonger」と関連しているという。

FishMongerはWinnti Groupの傘下グループで、Earth Lusca、TAG-22、Aquatic Panda、Red Dev 10といった名称でも追跡されている。中国・成都市を拠点に活動しているとみられ、過去には香港の大学に対するサイバースパイキャンペーンへの関与が指摘されたことがあるほか、ShadowPadやSpyder、FunnySwitch、BIOPASS RAT、 Cobalt Strikeなどのツールを展開していたことも知られている。

ESETによれば、FishMongerのものとみられるマルウェアSprySOCKSのWindows版亜種は当初、ViursTotalにアップされたファイルの中で発見されたものの、実際には2023年から2024年にかけて実環境で使われていたことがテレメトリデータにより示唆されているという。Windows版SprySOCKSを使った攻撃では主にホンジュラス、台湾、タイ、パキスタンの政府組織が標的になったとされる。

WIN_DRVおよびWIN_PLUSはいずれも30以上のC2コマンドに対応しており、システム偵察、プロセス管理、サービス制御、ファイル操作、リモートコマンド実行などが行えるようになっている。より高度なバージョンがWIN_DRVであり、同マルウェアはルートキットとして機能するカーネルドライバ「RawWNPF」を備えているという。このドライバはネットワーク接続やプロセス実行などの活動を隠蔽できるほか、ステルス性の高いパッシブなバックドアメカニズムも提供するとされる。一方でWIN_PLUSはカーネルドライバを含まないものの、高度なローディングメカニズムを有する点はWIN_DRVと同様だという。

いずれの亜種もオプションで利用可能なサーベイランス（監視）機能を備えており、構成設定ファイルを通じて有効化されると、キーストロークの記録やクリップボードコンテンツの収集、アクティブなウインドウタイトルの記録を行うことが可能。集められたデータは暗号化されたファイルに保存され、その後マルウェアオペレーターのもとへ転送されるという。

ESETの今回の報告内容の中で特に懸念材料となっているのが、一部のSprySOCKS攻撃において、UEFIブートキットコンポーネントが関与している可能性が示唆されている点。またこのブートキットがWindowsにおけるセキュアブート機能バイパスの脆弱性CVE-2023-24932を悪用している可能性も指摘されている。これを踏まえてESETは、FishMongerの活動に目を光らせておくようすべての組織に推奨。ブログ記事において、関連するIoCやMITRE ATT&CK情報も提供している。

北朝鮮APTが偽マイクロソフトアラート使ってNarwhalRATマルウェアを配布

The Hacker News – Jun 16, 2026

北朝鮮の国家支援型ハッキンググループScarCruft（APT37）が、マイクロソフトのアカウントチームを装ったセキュリティ通知を使ってマルウェア「NarwhalRAT」を展開している様子が観測されたという。

Genians Security Centerによれば、攻撃はMSアカウントのセキュリティアラートに見せかけたスピアフィッシングメッセージでスタート。このメールは、標的ユーザーのマイクロソフトアカウントに対して何度もワンタイムパスワード生成が行われ、フィッシングが試みられたとしてユーザーの危機感を煽り、パスワードを変更するよう促す。

また、添付されたセキュリティアドバイザリを開くよう指示する文も含まれるが、添付されているのはアドバイザリではなく、実際には悪意あるLNKファイルを含むZIPアーカイブ。このLNKファイルにより複数段階の感染チェーンが発動して、最終的にNarwhalRATがインストールされるようになっているという。

NarwhalRATはPythonベースのマルウェアで、主な標的は韓国のユーザーとされる。その性能は、キーストロークの記録やスクリーンショットの取得、周囲の音声の録音、ディレクトリコンテンツのアップロード、アクティブなウインドウの詳細収集、USBメディアのデータの収集など。加えて、C2サーバーにより発行される指示の実行や、C2サーバーの切り替えにも対応しているという。

Geniansによると、「NarwhalRAT」という名称は、このマルウェアが侵害されたホスト上で収集した情報を一時保存するために「%APPDATA%\naverwhale」を使用していることに由来する。この隠しディレクトリの名前は、韓国のIT企業Naver Corporationが開発したWebブラウザ「Naver Whale」を装うことで、検知を回避しようとする試みだという。

またGeniansは、「C2インフラの観点から見ると、このマルウェアは『daehoat[.]com』や『novel21[.]co.kr』などの韓国系Webサイトを主要な通信中継点として利用しているほか、pCloudのクラウドストレージAPIに基づく通信機能も実装している」と指摘。特にそのコードにおいては、「folderid」および「auth」パラメータを処理するpCloud固有のルーチンが確認されたという。これについてGeniansは、「このマルウェアが、デッドドロップ・リゾルバーという形で、正規のクラウドサービスを二次的なC2チャネルとして利用するように設計されていたことを示している」と述べた。

ScarCruftはこれまで、同グループのみに帰属するとされるマルウェアファミリー「RokRAT」の使用で知られていた。しかしNarwhalRATが展開されるようになった事実は、「RokRATからの転換」を示唆している点で注目に値するとのこと。