Steaelite RAT
情報セキュリティ研究者らは、Windowsベースの新たなリモートアクセス型トロイの木馬(RAT)「Steaelite」を発見しました。これは、2025年11月に犯罪者フォーラムで「最高のWindows RAT」として初めて宣伝され、いわゆる「完全に検出不可能な(FUD)」機能を備えています。このマルウェアは、Windows 10とWindows 11の両方の環境でシームレスに動作するように設計されており、潜在的な被害者層を大幅に拡大しています。
目次
統合サイバー犯罪プラットフォーム:データ窃盗とランサムウェアの組み合わせ
サイバー犯罪者向けに販売されている従来の市販RATとは異なり、Steaeliteは複数の攻撃機能を単一の集中型Webパネルに統合しています。特に注目すべきは、データ窃取操作とランサムウェアの展開を1つの統合フレームワークに統合していることです。Androidランサムウェアモジュールの開発が進められているとの報道もあり、クロスプラットフォーム展開の計画が示唆されています。
管理パネルには、悪意のある操作を効率化するための、次のようなさまざまな開発者向けユーティリティも組み込まれています。
- キーロギング機能
- 攻撃者と被害者間のリアルタイムチャット
- ファイル検索機能
- USBベースの伝播
- デスクトップの壁紙の変更
- ユーザーアカウント制御(UAC)バイパス
- 暗号通貨取引をターゲットにしたクリッパー機能
スパイ活動、妨害、収益化ツールを 1 つのダッシュボードに統合することは、脅威アクターの運用効率向上に向けた意図的な動きを反映しています。
防御回避と持続メカニズム
Steaeliteは、感染システムに対する優位性を維持するために設計された、積極的な回避機能とシステム制御機能を組み込んでいます。これらの機能には、競合するマルウェアの削除、Microsoft Defenderの無効化、検出を回避するためのセキュリティ除外の設定などが含まれます。また、持続メカニズムにより、マルウェアはシステムの再起動後も生き残り、長期的なアクセスを維持します。
このような組み込みの防御対策は、エンドポイントのセキュリティ制御とインシデント対応技術に関する高度な理解を強調します。
広範なリモート制御および監視機能
Steaeliteの中核となるのは、広範なリモート管理および監視機能であり、脅威アクターが侵害したシステムを完全に制御できるように設計されている。このマルウェアはリモートコード実行を可能にし、任意のファイル実行を含む包括的なファイル管理をサポートする。ライブスクリーンストリーミングに加え、被害者のWebカメラとマイクに直接アクセスすることで、リアルタイム監視を可能にする。さらに、プロセス管理、クリップボード監視、パスワード収集機能も備えており、インストール済みプログラムの列挙やデバイスの位置追跡も可能だ。攻撃者はリモートからURLを起動したり、分散型サービス拒否(DDoS)攻撃を実行したり、さらにはプラットフォームを介してVB.NETペイロードを直接コンパイルしたりすることもできる。
これらの機能はすべて、感染したWindowsマシンを集中管理するブラウザベースのコントロールパネルを通じて制御されます。この単一のインターフェースから、脅威アクターは追加のツールやインフラストラクチャを必要とせずに、認証情報の窃取、機密ファイルの流出、リアルタイム監視、ランサムウェアの展開を実行できます。
合理化された二重恐喝行為の実現
Steaeliteのアーキテクチャにより、単一の脅威アクターがツールを切り替えることなく、あらゆる侵入活動を実行できます。ファイルの閲覧と窃取、認証情報の収集、ランサムウェアの展開など、すべてを同じコントロールパネルから実行できます。
この統合により、盗まれたデータと暗号化を組み合わせて被害者への金銭的圧力を最大限に高める二重の恐喝キャンペーンを合理化し、すべてを単一の統合プラットフォームを通じて調整できるようになります。
