オープンソースC2フレームワークの悪用が深刻化
脅威インテリジェンス研究者たちは、正規のオープンソースコマンド&コントロール(C2)フレームワークであるAdaptixC2をサイバー犯罪者が悪用しているキャンペーンが拡大していることを明らかにしました。このフレームワークは、本来、認可されたペネトレーションテスター向けに設計されていますが、脅威アクターはこれを高度なサイバー攻撃に利用しています。
Silent Pushの脅威アナリストは、2025年8月にCountLoaderマルウェアローダーを調査中にAdaptixC2の悪用を最初に観測しました。悪意あるペイロードは、CountLoaderを利用する攻撃者インフラを通じて配信されており、これらのツールを連携させた組織的な攻撃への意図的な嗜好が示されています。
研究チームがAdaptixC2の検出シグネチャを展開した直後、このフレームワークが世界的なランサムウェアキャンペーン、特にAkiraランサムウェアのアフィリエイトによって急増していることが公に報告されました。Akiraランサムウェアだけでも、2023年3月以降、北米、ヨーロッパ、オーストラリアの250以上の組織に影響を与え、推定4,200万ドル以上の身代金を得ています。
AdaptixC2の概要と悪用
AdaptixC2は、レッドチームやペネトレーションテスター向けに設計された、拡張性の高いポストエクスプロイテーションフレームワークです。そのアーキテクチャは、柔軟なGolangベースのサーバーと、Linux、Windows、macOSシステムと互換性のあるC++ GUIクライアントを含んでいます。GitHubで合法的に入手可能であったため、サイバーセキュリティの専門家にとって魅力的な選択肢でしたが、脅威アクターはすぐにその悪意ある目的での可能性を認識しました。
DFIR Reportは、AkiraランサムウェアのアフィリエイトによるAdaptixC2の使用を文書化しており、このツールが倫理的な使用から犯罪的な悪用へと急速に移行した経緯を示しています。
開発者「RalfHacker」の背景
脅威研究者たちは、AdaptixC2の主要な開発を「RalfHacker」というハンドル名を使用する個人にまで遡りました。この人物は、自身のGitHubプロフィールでペネトレーションテスター、レッドチームオペレーター、マルウェア開発者として自己紹介しています。この役割の組み合わせは、フレームワークの犯罪的悪用を調査するセキュリティアナリストにとって、即座に危険信号となりました。
さらなる調査により、これらのメールアドレスが既知のハッキングフォーラムの漏洩データベースに登場していることが判明し、一般的な正規の開発者が維持するよりも深い犯罪アンダーグラウンドとのつながりを示唆しています。調査は、RalfHackerにちなんで名付けられた大規模なTelegramチャンネルへとつながり、そこで開発者はAdaptixC2の更新情報をロシア語で独占的に発表し、Active Directory、APT、ATM関連のハッシュタグを使用していました。このコミュニケーションパターンは、CountLoaderに関する並行研究で収集された情報と一致しており、ロシアのサイバー犯罪エコシステム内のつながりを示唆しています。
倫理的ハッキングツールと犯罪活動の境界線
AdaptixC2の武器化は、防御側にとっての重大な課題を浮き彫りにしています。それは、正規のツールを使用する際に、認可されたペネトレーションテストと犯罪活動を区別することの難しさです。evilginx2のような他のレッドチームフレームワークも同様に、合法的な使用例を維持しつつ、広範な犯罪利用に苦しんでいます。
脅威アクターは、仲間とのコミュニケーションにおいて、倫理的ハッキングを装うことで、開発者が「もっともらしい否認」を維持できるようにしています。RalfHackerのプロフィールは、レッドチームの資格と並行して「マルウェア開発」の資格を公然と宣伝しており、この曖昧化戦術を実証しています。
継続的な脅威評価と対策
RalfHackerと特定の犯罪活動を直接結びつける決定的な証拠は不十分ですが、状況証拠は深刻な懸念を抱かせます。確認されたランサムウェアオペレーターによるフレームワークの積極的な使用、RalfHackerのTelegramマーケティングを通じたロシアの犯罪ネットワークとの関連性、そしてツールの定期的なメンテナンスと更新は、開発者と悪意あるアクターとの間に無視できない関係があることを示唆しています。
セキュリティチームは、AdaptixC2インフラストラクチャを厳重に監視し、世界中の組織に対する高度な攻撃を阻止するよう助言されています。