大規模な中国系マルウェア作戦の全貌
DomainTools Investigationsの調査により、中国語話者を標的とした大規模なマルウェア配信ネットワークの拡大に関する重要な発見が公開されました。2023年6月から活動しているこの長期的なクラスターは、約5,000のドメインにまで膨れ上がっており、2025年5月から11月の間に1,900以上の新規ドメインが確認されています。
この最新の調査は、防御的サイバーセキュリティにおける画期的な成果も示しています。エージェント型AIシステムが、従来の手作業によるワークフローと比較して分析速度を10倍に向上させたことが実証されました。
脅威アクターの戦術変化と脆弱性
この「スーパークラスター」の背後にいる脅威アクターは、驚くべき執拗さと運用適応性を示しています。以前のキャンペーンでは主にAlibaba Cloud香港でホストされた統合インフラに依存していましたが、最近の分析では明確な分散化への移行が明らかになりました。2025年8月以降、オペレーターは集中型ホスティングから国内の中国レジストラとランダムなドメイン命名パターンを利用する方向に転換しています。これは、運用セキュリティ(OPSEC)を向上させ、検出を回避するための計算された試みです。
これらの努力にもかかわらず、アクターは特定の運用上の弱点を示しており、アナリストは異なるキャンペーンを関連付けることができます。SOAメール、SEO操作に使用される追跡ID、および独自の登録者名における繰り返されるパターンにより、新たに観測された1,900のドメインを広範なクラスターに接続することが可能になりました。インフラは現在、5つの国にまたがり、8つのユニークなレジストラを利用しており、2025年初頭に観測された3つのレジストラと比較して複雑性が大幅に増加しています。
Agentic AIが脅威ハンティングを革新
膨大な量の悪意あるインフラに対処するため、研究者たちは実験的な「エージェント型AI」システムを導入しました。このシステムは、標準的な自動化スクリプトとは異なり、オーケストレーションエージェントと、コード分析やバイナリ取得などのタスクに特化したサブエージェントからなる2層アーキテクチャを利用しています。その結果は画期的なものでした。AIシステムは、従来200〜400件の手動調査にかかる時間で、1,900以上のマルウェア配信ウェブサイトを処理しました。
一括処理テストでは、3つのAIエージェントが約10時間で2,000のドメインを分析し、複雑さに応じてドメインあたり平均1〜10分かかりました。このワークフローにより、自動化回避JavaScriptやボット検出メカニズムが多用されているサイトの深層分析が可能になりました。これは通常、従来のスカナーでは停滞するタスクです。従来の固定スクリプトに従う自動化ツールとは異なり、このエージェント型システムは脅威分析において適応的インテリジェンスを発揮します。AIエージェントは、悪意のあるコードの特定、ペイロードの取得、さらにはYARAルールの自律的な生成に成功し、大規模なキャンペーンに対する防御の経済性を根本的に変えています。
標的型スプーフィングキャンペーンの分析
このクラスターは、中国語話者の人口層に引き続き焦点を当てており、人気のあるソフトウェアを高度にスプーフィングして、トロイの木馬や認証情報窃取型マルウェアを配信しています。2,393件の最新ドメインの分析では、通信ツールやVPNサービスが特に重視されていることが明らかになりました。これは、インターネット規制を回避しようとするユーザーを悪用している可能性があります。マルウェアは、標準的なアンチウイルススキャン制限を回避するために、大容量ファイル(100~250MB)を介して配信されることが多いです。
スプーフィングされた主要アプリケーションカテゴリ(2025年5月~11月)
- 通信ツール: 391件(24.2%)- WhatsApp、WhatsApp Web
- VPNサービス: 363件(22.4%)- LetsVPN (Kuailian)、Kuailian Variants
- 生産性向上ツール: 229件(14.2%)- Googleサービス、Youdao、WPS Office
- Webブラウザ: 109件(6.7%)- Google Chrome
- 仮想通貨・金融: 105件(6.5%)- ImToken、AICoin
脅威の進化と防御の未来
このクラスターの永続性と、国内インフラへの移行および複雑な回避技術へのシフトは、オペレーターがアフィリエイトに独自のマルウェアを持ち込ませることを許可するサービスプラットフォームへと進化している可能性を示唆しています。しかし、エージェント型AIの展開が成功したことは、防御側がこの規模に対応できるようになり、大量の脅威オペレーションに対する状況を一変させることを証明しています。