概要:進化したボットネット「Tsundere」
2025年半ばにKaspersky GReATによって発見された「Tsundere」と名付けられた新たなボットネットが、セキュリティ専門家の間で警戒を高めています。このボットネットは、ロシア語を話す脅威アクター「koneko」によるもので、2024年10月にNode.js開発者を標的とした以前のサプライチェーン攻撃からの著しい進化を示しています。Tsundereは、Windows、Linux、macOSの各プラットフォームを標的にしており、その手法とインフラには恐るべき共通点が見られます。
過去のNode.jsサプライチェーンキャンペーン
「koneko」は、以前のキャンペーンにおいて、正規のライブラリに酷似したパッケージ名を用いるタイポスクワッティング技術を駆使し、287個もの悪意あるNode.jsパッケージをnpmを通じて配布しました。この2024年10月のキャンペーンは、脅威アクターがJavaScriptエコシステムを侵害する能力を示す初期の概念実証でした。Puppeteer、Bignum.js、および様々な仮想通貨関連パッケージが標的とされ、開発者コミュニティのWindows、Linux、macOSユーザーに影響を与えました。このキャンペーンは短命に終わりましたが、攻撃者の能力に関する貴重な洞察を提供しました。
Tsundereボットネット:感染経路の拡大
Tsundereは、この脅威の成熟したバージョンとして登場しました。このボットネットは、サプライチェーンの侵害にのみ依存するのではなく、複数の感染経路を採用しています。これには、人気ゲーム(Valorant、CS2、R6X)を装ったMSIインストーラーや、PowerShellスクリプトが含まれます。
- MSIインストーラー:Node.js実行ファイルを悪意あるJavaScriptファイルとバンドルし、バックグラウンドで動作させます。Windows InstallerのCustomActionテーブルを通じて実行され、隠されたNode.jsプロセスがAES-256-CBC暗号化されたボットスクリプトをロードします。
- PowerShellバリアント:公式リポジトリからNode.jsをダウンロードすることで正当性を装いながら、MSIインストーラーと同一の悪意ある機能を展開します。
初期のインプラントの発見では、Remote Monitoring and Management(RMM)ツールが疑わしいPDF.msiファイルをダウンロードしており、脅威アクターがマルウェア配布のために正規のツールを悪用することに躊躇しない姿勢が明らかになりました。
EthereumスマートコントラクトによるC2インフラ
Tsundereを際立たせているのは、Ethereumスマートコントラクトをコマンド&コントロール(C2)インフラに利用している点です。従来のドメイン名に依存せず、ボットネットはWebSocket C2アドレスをEthereumブロックチェーン(ウォレット0x73625B6cdFECC81A4899D221C732E1f73e504a32およびコントラクト0xa1b40044EBc2794f207D45143Bd82a1B86156c6b)に保存しています。このアプローチにより、オペレーターはDNSレベルの妨害を受けることなく、C2サーバーを自由に切り替えることができます。
感染したマシンは、公開Ethereum RPCエンドポイントにクエリを送信して現在のC2アドレスを取得し、暗号化されたWebSocket接続を確立してコマンドを実行します。ボットネットは動的なJavaScriptコード評価を利用しており、オペレーターはC2パネルを通じて任意の機能をデプロイすることが可能です。
マーケットプレイスモデルとインフラの共有
Tsundereのコントロールパネルは、オープン登録システムを特徴としており、任意のユーザーがカスタムボットを構築し、マルウェアのバリアントを作成し、統合されたマーケットプレイスでサービスを提供することができます。このパネルには、Moneroウォレット機能、SOCKSプロキシ機能、およびユニークなボットバリアントを生成するためのビルドシステムが統合されています。
分析時点では、90〜115個のボットがアクティブな接続を維持していました。Tsundereの帰属証拠は、共有インフラを通じて123 Stealer(月額120ドルで利用可能な市販スティールウェア)と関連付けられています。両者は同じバックエンドサーバーから動作しており、脅威アクターのダークウェブフォーラムでのプロフィールには「node malware senior」と記載されており、Node.jsベースのマルウェア開発における専門知識が裏付けられています。
セキュリティ対策と今後の見通し
Tsundereのインフラがボット接続に活発に応答しており、根底にある脅威アクターが追加のマルウェアを同時に宣伝していることから、セキュリティ研究者らはこの脅威が縮小するどころか、さらにエスカレートすると予想しています。組織は関連する脅威を監視し、この進化するボットネットファミリーによってもたらされるリスクを軽減するために、堅牢なサプライチェーンセキュリティ対策を実施すべきです。