はじめに
Pythonベースの情報窃盗ツール「Xillen Stealer」がバージョン4および5に進化し、その標的と機能が大幅に拡大しました。2025年9月にCyfirmaによって初めて報告されたこのクロスプラットフォームのインフォスティーラーは、認証情報、仮想通貨ウォレット、システム情報、ブラウザデータなどの機密データを標的とし、検出を回避するための洗練された分析回避技術を採用しています。
機能の拡張
最新のアップデートにより、Xillen Stealerは包括的なデータ収集プラットフォームへと変貌を遂げました。このマルウェアは現在、パスワードマネージャー、ソーシャルメディアアカウント、100以上のブラウザからブラウザデータを標的にしています。70以上の異なるウォレットから仮想通貨を抽出し、Kubernetesの構成、Dockerスキャン、IoTデバイスの標的化にも対応しています。さらに、永続化メカニズム、ポリモーフィックコード生成、システムフック、ピアツーピアのコマンド&コントロール通信を実装し、運用上の回復力を維持しています。
高度なAI回避機能
特に注目すべきは、マルウェアがAIベースおよび行動ベースの検出システム(エンドポイント検出および対応(EDR)ソリューションやサンドボックスを含む)を回避する目的で設計されたAIEvasionEngineモジュールです。このエンジンは、マウスの動き、偽のブラウザ使用、ファイルネットワークアクティビティをシミュレートすることで、正当なユーザーおよびシステム行動を模倣します。異常検出を回避するために、ランダムなメモリ、CPU、ネットワーク操作を通じて統計的ノイズを注入し、不規則な遅延で実行タイミングパターンをランダム化します。さらに、通常のアプリケーションを模倣するようにCPUとメモリ割り当てを調整することでリソース使用量をカモフラージュし、ランダムなパターンでAPI呼び出しを不明瞭にし、メモリアクセスパターンを変更して機械学習モデルを回避します。
AI標的検出(誤称)
興味深いことに、このスティーラーには、高価値の標的を特定するために人工知能を使用すると謳うAITargetDetectionクラスが含まれています。しかし、技術分析では、その実装は実際の機械学習アルゴリズムではなく、完全にルールベースのパターンマッチングに依存していることが明らかになりました。このシステムは、仮想通貨ウォレット、銀行データ、プレミアムアカウント、開発者アカウント、ビジネスメールなどの事前定義された指標に基づいて標的を識別し、米国、英国、ドイツ、日本などの国を優先する地理的スコアリングを採用しています。
エンタープライズに特化した情報収集機能
DevToolsCollector機能は、VS Code、JetBrains製品、Sublime TextなどのIDE構成から機密データを抽出する、スティーラーの企業向け側面を示しています。AWS、Google Cloud、Azure、Digital Oceanからのクラウド認証情報、SSHキー、DockerおよびKubernetesの構成、データベース接続情報、VPN設定、環境ファイルからのAPIキーを標的にします。BiometricCollectorは、Windows Helloおよび生体認証構成データの抽出を試み、PasswordManagerCollectorはOnePass、LastPass、BitWarden、Dashlane、NordPass、KeePassを標的にします。
「CEO」「トレーダー」「投資家」「VIP」などの富裕層を示すキーワードも辞書に定義されていますが、現時点では使用されていません。これは、将来的にさらなる開発を行うというグループの意図を示唆しています(デッドコード機能)。追加のコレクターは、Azure Active DirectoryおよびKerberosシステムからシングルサインオン(SSO)トークンを、Authy DesktopおよびMicrosoft Authenticatorから時間ベースのワンタイムパスワード(TOTP)を、VPNクライアントおよびRDPシステムから企業認証情報を抽出します。SuperExtendedApplication Collectorは、Teams、Slack、Zoom、セキュリティ製品を含む160種類のアプリケーションをスキャンします。
多層的なデータ流出方法
データ流出には複数のアプローチが採用されており、ステガノグラフィー技術を使用して、最小ビット符号化を用いた画像内への盗まれたデータの隠蔽、NTFS代替データストリーム、Windowsレジストリキー、ポリグロットファイルなどが含まれます。CloudProxyモジュールは、AWS、GCP、Azureなどのクラウドサービスドメインを介してデータをルーティングし、P2PEngineはブロックチェーン取引内に命令を埋め込み、TorやI2Pなどの匿名化ネットワークを利用します。
脅威としての評価
Telegramで販売され、段階的なライセンスオプションが提供されているXillen Stealerは、攻撃者に流出したデータの表示と感染管理のための専門的なGUIを提供します。一部のコンポーネントは未開発のままですが、その包括的な機能セットは、機密性の高い認証情報や仮想通貨資産を管理する組織にとって、進化する重大な脅威としての位置付けを確立しています。