概要

脅威アクターは、ユーザーに偽装されたゲームユーティリティを実行させることで、ブラウザやチャットプラットフォーム経由で遠隔アクセストロイの木馬（RAT）を拡散しています。

攻撃チェーン

Microsoft Threat Intelligenceチームは、X（旧Twitter）上でポータブルJavaランタイムを設定し、PowerShellとLOLBins（cmstp.exeなど）を使用してステルス実行を行うダウンローダーが使用されていることを報告しました。

RATの特性

• マルチパーパス型のマルウェア： ローダー、ランナー、ダウンローダー、およびRATとして機能します。
• C&C通信： 外部サーバー「79.110.49[.]15」に接続し、データのエクスフィラートと追加ペイロードの展開を可能にします。

防御策

• Microsoft Defenderの除外リストの監査： 悪意のあるタスクやスタートアップスクリプトの削除、影響を受けたエンドポイントの隔離、およびアクティブなユーザーの資格情報リセット。

Steaelite RATについて

BlackFogは、Windows用の新しいRATマルウェアファミリー「Steaelite」を発表しました。 これは、「完全に検出不可能（FUD）」な機能を持つ「最良のWindows RAT」として宣伝されています。 Steaeliteはデータ窃取とランサムウェアを組み合わせ、Android用のランサムウェアモジュールも開発中です。

Steaeliteの主要機能

• リモートコード実行：
• ファイル管理：
• ライブストリーミング：
• ウェブカメラとマイクへのアクセス：
• プロセス管理：
• クリップボードモニタリング：
• パスワード窃取：
• インストール済みプログラムの列挙：
• 位置情報追跡：
• 任意のファイル実行：
• URLを開く：
• DDoS攻撃：
• VB.NETペイロードコンパイル：

他のRATファミリー

最近、DesckVB RATとKazakRATという2つの新しいRATファミリーが発見されました。 KazakRATは、カザフスタンやアフガニスタンの組織を標的とする可能性のある国家関連クラスターによるものだと疑われています。

---

元記事: https://thehackernews.com/2026/02/trojanized-gaming-tools-spread-java.html