FlutterShell macOSバックドア

サイバーセキュリティ研究者らは、FlutterShellという新たに特定されたバックドアを拡散する大規模なmacOS向け悪質な広告キャンペーン「Operation FlutterBridge」を発見した。このキャンペーンは、2025年8月に初めて確認された悪質な活動であるJSCoreRunner（別名FileRipple）に関連付けられていた脅威群の最新の進化形である。

両方の攻撃チェーンの背後にいるサイバー犯罪グループはCL-CRI-1089として追跡されており、少なくとも2023年から活動していると考えられている。セキュリティアナリストは、FlutterShellをこのグループの能力とインフラにおける著しい進歩と見なしている。

アドウェアから完全なバックドア機能まで

GoogleのFlutterフレームワークを使用して開発されたFlutterShellは、一見正規のアプリケーションに見える悪意のあるデスクトップアプリケーションを介して配信されます。このマルウェアにはアドウェア機能が含まれていますが、その機能は迷惑広告の表示にとどまりません。

このマルウェアは以下のことが可能です。

• 感染したシステム上で任意のシェルコマンドを実行する。
• ファイルシステム内のファイルとやり取りし、操作する。
• 環境変数とシステム情報を外部に漏洩させる。
• システムフィンガープリンティングを実施する。
• ブラウザのセッションデータを盗む。

研究者らは、2026年3月という比較的最近にもFlutterShellに関連する悪意のある活動を観測しており、このキャンペーンが依然として活発に行われていることを示している。

TamperedChefに関連する拡大するマルウェアエコシステム

FlutterShellは単独の脅威ではありません。CL-CRI-1089に起因する活動には、Recipe ListerとCalendaromaticも含まれており、これらはどちらもEvilAIとしても知られるTamperedChefキャンペーンに関連しています。

TamperedChefキャンペーンは、トロイの木馬化された生産性向上アプリケーションを利用して、潜在的に不要なプログラム（PUP）やアドウェアを配布します。これらの悪意のあるアプリケーションは、ユーザーが正規のソフトウェアツールをダウンロードしていると誤解させるような、欺瞞的な広告キャンペーンを通じて宣伝されます。

ペーパーカンパニーを利用した悪質な広告

この作戦の重要な要素は、GoogleとYouTubeの広告を利用した大規模なマルバタイジングネットワークである。攻撃者は、Googleに認証された複数のペーパーカンパニーを利用して悪質な広告を掲載・宣伝し、キャンペーンの信頼性を高め、広告プラットフォームの監視を回避する。

この作戦に関与している企業には、以下の企業が含まれる。

AdsParkPro LTD、Advantage Web Marketing LLC、およびSOFT WE ART LIMITED（現在はPACIFIC TRADE SOLUTIONS LTDとして事業運営）。
YouControlおよび英国の企業登記所からの追加記録は、これらの企業とウクライナ人個人とのつながりを示している。

これらの広告は主に、米国、カナダ、オーストラリア、フランス、ドイツに居住するmacOSユーザーを対象としています。関連するGoogle広告アカウントはGoogle広告透明性センターからアクセスできなくなりましたが、過去の記録からは関係する組織間のつながりが明らかになっています。

信頼できるアプリケーションを介したブラウザハイジャック

FlutterShellが実行されると、Google Chromeの設定ファイルを変更し、すべてのブラウザトラフィックを攻撃者が管理する広告満載の中間ウェブサイトにリダイレクトします。このブラウザハイジャックの手法により、攻撃者はユーザーの閲覧活動を制御しながら収益を上げることが可能になります。

特に懸念されるのは、分析対象となったすべてのサンプルが有効なApple開発者IDで署名され、Appleの公証プロセスを正常に通過していたという事実です。その結果、Appleの自動セキュリティメカニズムは、提出時にこれらのアプリケーションを悪意のあるものとして識別しませんでした。

WebViewアーキテクチャにより、マルウェアの動的な進化が可能になる

FlutterShellの最も特徴的な点の1つは、WebViewベースのアーキテクチャとJavaScriptとネイティブシステム間の通信ブリッジを組み合わせている点です。このモデルでは、アプリケーションはWebコンテンツを表示するブラウザコンポーネントを組み込みながら、JavaScriptコードがネイティブシステム機能と直接通信できるようにします。

攻撃者は、悪意のあるロジックをアプリケーションのバイナリに直接埋め込むのではなく、マルウェアの機能の大部分を、自身が管理するリモートのWebサイトにホストします。このアプローチには、いくつかの利点があります。

マルウェアの動作は、アプリケーションを再コンパイルすることなくリアルタイムで変更できます。
更新されたマルウェアバイナリを配布することなく、新機能を追加できます。
悪意のあるコアロジックがインストールされたアプリケーションの外部に存在するため、検出がより困難になる。

このアーキテクチャは攻撃者に非常に高い柔軟性を与え、防御策への迅速な適応を可能にする。

複数の変異は活発な発達を示唆する

研究者らは、既知のFlutterShellの亜種として、PodcastsLounge、PDF-Brain、PDF-Ninjaの3種類を特定した。攻撃者のインフラストラクチャを分析した結果、JavaScript関数が不完全であったり、コードコンポーネントが未完成であったりすることが判明し、開発が継続中であることが示唆された。

PDF-BrainやPDF-Ninjaなど、いくつかの亜種は人工知能を活用した文書要約機能を搭載している。しかし、要約のために送信された文書は、処理される前に攻撃者が制御するサーバーを経由するため、影響を受けるユーザーにとって重大なプライバシーとセキュリティ上の懸念が生じる。

過去のキャンペーンとの強力な技術的関連性

FlutterShellは、CL-CRI-1089に関連する以前のマルウェアファミリー、特にCalendaromaticとRecipe Listerと顕著な類似点を共有している。最も明白な共通点は、WebViewベースのアーキテクチャを共有していることであり、これにより、展開後に悪意のあるペイロードを動的に変更することが可能になる。

捜査官らはまた、Advantage Web Marketing LLCが悪質な広告の配信に関与しただけでなく、同じ脅威クラスターに関連するWindowsベースのアドウェアサンプルの署名主体としても機能していたことを確認した。これらの発見は、様々なキャンペーン間の関連性をさらに強固なものにするものである。

持続的かつ拡大し続ける脅威の状況

JSCoreRunnerからFlutterShellへの移行は、CL-CRI-1089による技術的な高度化の著しい進展を示している。高度なマルウェア開発、大規模な悪質な広告活動、そして広告プラットフォームの制御を回避するための認証済みペーパーカンパニーの利用といった要素の組み合わせは、このグループの戦術の有効性が高まっていることを浮き彫りにしている。

複数のフロント組織が連携して活動していること、そしてFlutterShellの新たな亜種が急速に出現していることから、Operation FlutterBridgeは依然として活発かつ進化し続ける脅威であることが示唆される。セキュリティ研究者らは、この攻撃キャンペーンはまだ終わっておらず、世界中のmacOSユーザーを標的とするために、今後も攻撃手法を適応させ続ける可能性が高いと警告している。