XWorm 6.0 マルウェア

セキュリティ研究者は、XWormがコンパクトなリモートアクセスフレームワークから、侵入先のWindowsホスト上で様々な悪意ある操作を実行するためにオペレーターが使用する高度にモジュール化されたプラットフォームへと進化したことを突き止めました。2022年に初めてフラグ付けされ、EvilCoderというハンドルネームを持つグループに関連付けられたXWormは、XCoder（2024年半ばまではリード開発者）というペルソナを持つ個人、そして最近ではXCoderToolsなどの販売者によって積極的に開発と改良が行われてきました。その継続的な進化と再出現は、ツールがいかに急速に断片化され、再パッケージ化され、再び出回る可能性があるかを物語っています。

XWorm の構築方法 — コア + プラグイン

XWormのアーキテクチャは、コマンドアンドコントロール（C2）サーバーにアクセスする小型クライアントと、オンデマンドでメモリにロードされる多数のプラグインペイロードを中心としています。この設計により、オペレーターは軽量クライアントをホスト上に維持したまま、特定のタスクを実行するための機能（DLL）を動的にプッシュすることができます。プロジェクトのエコシステムには、開発者が推奨する補助ツールも含まれています。.NETマルウェアビルダー、XBinderと呼ばれる別のRAT、Windowsユーザーアカウント制御（UAC）の回避を試みるユーティリティなどです。XWormを取り巻く開発者コミュニティは、他のコンポーネントや偽インストーラ（特に悪意のあるScreenConnectインストーラ）を配布の餌として宣伝しています。

感染連鎖と感染経路

研究者たちは、XWormの感染ワークフローが複数かつ変化していることを観察してきました。初期の感染チェーンは、Windowsのショートカット（LNK）ファイルを配信するフィッシングメッセージに依存していました。LNKはPowerShellを実行し、デコイファイル（無害なTXTなど）と、最終的に実際のペイロードを起動する偽の実行ファイル（通常はDiscordを装う）をドロップしました。6.xファミリを配布する最近のキャンペーンでは、フィッシングメールに悪意のあるJavaScript添付ファイルを使用し、デコイPDFを表示しながらバックグラウンドでPowerShellを実行し、RegSvcs.exeなどの正当なプロセスにXWormを挿入することで検出を回避しています。脅威アクターはまた、GitHubリポジトリ、ファイル共有サイト、Telegramチャンネル、YouTubeを通じて、クラック版またはトロイの木馬化されたXWormコンポーネントを拡散させ、スキルの低いオペレーターを騙してバックドアビルダーをインストールさせようとしています。

回避、遠隔操作、オペレーター機能

XWormは、仮想化やサンドボックスの兆候を検出すると実行を中止する複数の分析回避チェックを統合しています。クライアントがアクティブになると、C2からのコマンドを受け入れます。これらのコマンドは、一般的なRAT操作（ファイル転送、プロセスおよびサービスの操作、シェルコマンドの実行、URLのオープン）、システム制御（シャットダウン/再起動）、そしてDDoS攻撃の開始といったより攻撃的なアクションを網羅します。モジュラープラグインモデルにより、リモートオペレーターは35種類以上のDLLペイロードをディスクに書き込むことなくメモリ内で実行できるため、XWormは柔軟な攻撃対象領域を確保しながら、フォレンジックによる痕跡の追跡を抑制します。

プラグイン配信プロトコル

XWorm 6.xはハッシュファースト・プラグイン・プロトコルを実装しています。C2は、要求されたDLLのSHA-256ハッシュと実行時引数を含む「plugin」コマンドを発行します。クライアントは、そのプラグインが既にキャッシュされているかどうかを確認し、キャッシュされていない場合は「sendplugin」でファイルを要求します。サーバーは、プラグインをBase64 BLOBとして格納し、そのSHA-256ハッシュを含む「savePlugin」コマンドで応答します。クライアントはBLOBをデコードし、ハッシュを検証した後、DLLを直接メモリにロードして実行します。

注目のプラグインとその機能

• RemoteDesktop.dll — 対話型のリモート セッションを確立します。
• WindowsUpdate.dll、Stealer.dll、Recovery.dll、merged.dll、Chromium.dll、SystemCheck.Merged.dll — OS およびアプリケーションからの資格情報およびデータの盗難 (Windows キー、Wi-Fi パスワード、ブラウザーに保存された資格情報、アプリバインド暗号化のバイパスを含む、FileZilla、Discord、Telegram、MetaMask のハーベスター)。
• FileManager.dll — ファイルシステムへのアクセスと操作。
• Shell.dll — cmd.exe を介したオペレータ コマンドの隠し実行。
• Informations.dll — ホスト/システムのフィンガープリンティング。
• Webcam.dll — 実際の被害者を確認するために、Web カメラの画像/ビデオをキャプチャします。
• TCPConnections.dll、ActiveWindows.dll、StartupManager.dll — ネットワーク接続、アクティブ ウィンドウ、および自動起動エントリを列挙します。
• Ransomware.dll — ファイルの暗号化/復号化ルーチン (NoCry スタイルのランサムウェアとコードを共有)。
• Rootkit.dll — 変更された r77 ルートキットをインストールします。
• ResetSurvival.dll — 特定のデバイスのリセットに耐えられるように Windows レジストリを変更します。

XWorm 感染によって配布されるその他のマルウェアには、次のものがあります。

• ダーククラウド・スティーラー
• Hworm（VBS RAT）
• スネークキーロガー
• コインマイナー
• 純粋なマルウェア
• ShadowSniff（Rust スティーラー、オープンソース）
• ファントム・スティーラー
• フェメドロン泥棒

運用上の挫折、断片化、そして武器化されたフォーク

XWormの開発は直線的なものではありません。2024年後半には、XCoderという人物がTelegramアカウントを突然削除し、プロジェクトの将来に疑問を投げかけました。しかし、この空白期間を機に、XWorm v5.6のパッケージがクラックされ、トロイの木馬化されて他の脅威アクターに感染するといった事態が起こりました。また、GitHubなどのパブリックチャネルを介して「スクリプトキディ」を標的としたソーシャルエンジニアリングキャンペーンも発生しました。研究者の推定によると、これらのキャンペーンによって数万台（報告によると18,000台以上）のデバイスへの侵入が試みられました。

アナリストらは、XSPYと呼ばれる亜種（報告によると出所：中国語版亜種）を含む改変されたフォークも発見しました。また、一部のビルドには、C2暗号鍵を所持する第三者が感染ホスト上で任意のコードを実行できる重大なリモートコード実行（RCE）脆弱性が存在していました。ツールキットの断片化により、攻撃者の特定と削除はより困難になっています。異なる販売者やフォークが独立して出現したり消滅したりする可能性があるためです。

2025年の再浮上：XWorm 6.0とマーケットプレイスの活動

2025年6月4日、XCoderToolsと名乗るベンダーがサイバー犯罪フォーラムにXWorm 6.0を投稿しました。価格は500ドルで、生涯アクセスが可能で、このリリースは完全に再コードされており、以前に報告されたRCE脆弱性が修正されていると主張していました。このリリースがオリジナルの作者によるものか、XWormブランドを利用した第三者によるものかは不明です。確認されたXWorm 6.0サンプルは、94.159.113[.]64のポート4411でC2に接続し、前述のプラグインプロトコルを実装するように設定されており、数十個のDLLモジュールを迅速にメモリ内に配信できます。

結論

XWormのライフサイクル（活発な開発から放棄、そして新たな販売者やトロイの木馬化されたクラック版による再出現まで）は、マルウェアがエコシステムであることを改めて認識させます。たとえオリジナルの作者が姿を消したとしても、そのコードは他者によってフォークされ、兵器化され、再利用される可能性があります。したがって、防御側は、攻撃者が既存のツールセットを再利用・再パッケージ化することを前提とした、回復力の高い制御と検出戦略に注力する必要があります。