管理者が日常的に使うツールが、攻撃の入口になっています。
2026年3月、Atos Threat Research Center(TRC)が発見した「EtherRAT」キャンペーンは、企業のIT管理者・DevOpsエンジニア・セキュリティ担当者を標的にした高度な攻撃です。SEOポイズニングで検索結果の上位に偽のGitHubリポジトリを表示し、管理用ツールに見せかけたマルウェアをダウンロードさせます。さらに、指令サーバーのアドレスをEthereumブロックチェーンに格納することで、従来のドメインブロックやサーバー停止による対処を無力化しています。
この記事でわかること
- EtherRATの配布経路と二段構えのGitHubリポジトリ構造
- Ethereumスマートコントラクトを使ったC2の仕組み
- 感染後にどんな動作をするか
- 企業がとるべき防御策
https://thehackernews.com/2026/04/etherrat-distribution-spoofing.html
検索結果の上位に偽のGitHubリポジトリが並ぶ
攻撃はBing、Yahoo、DuckDuckGo、YandexなどのSEOポイズニングから始まります。「Kusto Explorer」「PsExec」「AzCopy」「Sysmon」といったIT管理用ツールを検索すると、攻撃者が用意したGitHubリポジトリが上位に表示されます。
この配布方法は二段構えになっています。最初にたどり着くリポジトリは「ファサード(見せかけ)」です。マルウェアは含まず、見栄えのよいREADMEがあるだけの無害なリポジトリで、検索エンジンからの評価を維持する役割を果たします。READMEに埋め込まれたリンクをクリックすると、別のGitHubアカウントが管理する第2のリポジトリに誘導されます。マルウェア本体はここに置かれています。
この分離構造が厄介な点は、第2のリポジトリが通報・削除されても、検索上位に表示されるファサード側は無傷で残ることです。攻撃者はREADME内のリンク先を書き換えるだけで、配布チェーンを即座に復旧できます。Atos TRCの調査では、2025年12月初旬から2026年4月1日までに44個のファサードリポジトリが確認されています。
狙われるのは「特権を持つ人」
偽装されたツールのリストを見ると、攻撃者の狙いが明確にわかります。ProcDump、Process Explorer、WinDbg、Windows LAPS、RSAT、Sysmonなど、いずれも一般ユーザーがまず使わないシステム管理・診断用のツールです。
これらのツールをダウンロードするのは、ほぼ確実に企業ネットワーク内で高い権限を持つ管理者です。つまり、感染に成功すれば「鍵束ごと手に入る」状態になり、企業ネットワーク内の横展開(ラテラルムーブメント)に直結します。
もう一つ皮肉な点があります。Process ExplorerやTCPViewは、セキュリティ担当者がマルウェア調査に使うツールです。インシデント対応のために正規のツールをダウンロードしようとした結果、逆に感染するという構図が成立します。
Ethereumスマートコントラクトで指令サーバーを隠す
EtherRATの技術的に最も注目すべき点は、C2(コマンド&コントロール)サーバーのアドレス解決にEthereumブロックチェーンを使う「EtherHiding」と呼ばれる手法です。
従来のマルウェアは、ハードコードされたドメインやIPアドレスでC2サーバーに接続します。防御側はそのドメインをブロックリストに追加したり、サーバーをテイクダウンしたりして対処できました。EtherRATはこの前提を覆します。
マルウェアにはEthereumスマートコントラクトのアドレスが埋め込まれています。実行時に9つの公開Ethereum RPCエンドポイントへ並行してクエリを送り、多数決方式でC2サーバーのURLを取得します。一部のRPCサービスが停止していても、過半数が応答すればC2アドレスを特定できる設計です。
攻撃者にとってのメリットは3つあります。まず、C2サーバーを切り替えるにはブロックチェーン上のコントラクトに1回トランザクションを送るだけで済みます。次に、ブロックチェーン上のデータは削除やテイクダウンの対象にできません。そして、マルウェアは5分ごとにブロックチェーンを再確認するため、C2アドレスが更新されれば自動的に新しいサーバーへ切り替わります。
この手法は2023年にGuardio Labsが初めて報告し、2025年以降は北朝鮮系のグループが積極的に採用しています。GoogleのMandiantチームが追跡するUNC5342グループは、暗号通貨開発者を狙ったソーシャルエンジニアリングにEtherHidingを組み込みました(参考)。
4段階の感染チェーン
EtherRATの感染は4つのステージで進行します。
ステージ0(ドロッパー): MSIインストーラーが実行されると、難読化されたCMDバッチスクリプトが起動します。curl、tar、startなどのコマンド名を変数に分割して連結することで、文字列ベースの静的解析を回避します。Node.jsランタイムをnodejs.orgからダウンロードし、ステージ1に引き渡します。
ステージ1(メモリ内ローダー): ディスクに書き込まずメモリ上で動作するNode.jsスクリプトです。AES-256-CBCで暗号化された次のステージを復号し、module._compile()でメモリ内実行します。
ステージ2(永続化): ステージ3のペイロードを復号してディスクに書き出し、conhost.exe --headless経由で実行します。タスクマネージャーには通常のコンソールホストプロセスとして表示されます。WindowsレジストリのRunキーに自身を登録し、再起動後も動作を継続します。
ステージ3(RAT本体): 本体のバックドアです。感染端末にユニークなボットIDを割り当て、前述のEthereumコントラクトからC2アドレスを取得します。C2サーバーへのビーコンは、.png、.jpg、.cssなどの静的アセットへのリクエストに偽装されます。攻撃者から送られるコマンドはJavaScriptコードとして実行され、ファイルシステムへのアクセス、OSコマンドの実行、データの持ち出しが可能です。
特筆すべきは、RAT本体がC2サーバーから新たに難読化されたコードを受け取り、自分自身を上書きする機能を持つ点です。実行のたびにコードが変わるため、ファイルハッシュベースの検知が困難になります。
背後にいるのは誰か
Sysdig Threat Research Teamは、EtherRATを北朝鮮の国家支援アクター「Lazarus Group」に帰属させています(参考)。EtherRATの暗号化ローダーパターンが、Lazarus Groupの「Contagious Interview」キャンペーンで使われたBeaverTailマルウェアと重複しているためです。
さらに2026年3月には、eSentireがイラン系グループ「MuddyWater(APT34)」のサーバー上でEtherHidingのC2解決ロジックを使うマルウェアを発見しています。複数の国家アクターが同じ技術基盤を共有している可能性があります。
企業がとるべき対策
Atos TRCが推奨する防御策は以下のとおりです。
Ethereum RPCエンドポイントへのアクセス制限: 通常の業務端末がInfuraやAlchemyなどのブロックチェーンRPCサービスに接続する理由はありません。ファイアウォールやプロキシでブロックすることで、EtherHidingによるC2解決を遮断できます。
過去ログの遡及調査: 既知のRPCエンドポイントやC2ドメインへの通信が過去に発生していないか、ネットワークログを確認します。
ツールの入手経路の統制: 管理用ツールは検索エンジン経由ではなく、社内ソフトウェアセンターや公式サイトから直接ダウンロードする運用を徹底します。
振る舞い検知の強化: 500ミリ秒間隔の外部ビーコン、5分間隔のEthereum RPCへのリクエスト、node.exeからのシェルコマンド実行、conhost.exe --headlessの起動は、いずれもEtherRATの特徴的な挙動です。
IoC(侵害指標)の完全なリストは、Atos TRCのGitHubリポジトリで公開されています。
まとめの一言
EtherRATは、配布・標的選定・C2の3つの層すべてで従来の防御を迂回する設計になっています。GitHubのファサード構造で検索結果を支配し、管理者ツールの偽装で高権限アカウントを狙い、ブロックチェーンでインフラのテイクダウンを無効化します。Atos TRCは2026年4月30日時点でこのキャンペーンが依然として活発であると報告しており、管理者ツールの入手経路とネットワークの振る舞い監視を今すぐ見直す必要があります。