カスペルスキーがWindowsユーザーをターゲットにした「ツンデレ」ボットネットを明らかに

ジャカルタ - カスペルスキーのグローバル調査分析チーム(GReAT)は、2025年7月に再登場する脅威アクターによって作成された新しいボットネットを発見しました。

Tsundereビットネットと呼ばれる攻撃者は、通常、Valorant、CS2、R6x、およびその他のソフトウェアなどの人気ゲームの偽の設定に偽装されたMicrosoft Windows Installer(MSI)インストーラーを使用します。

このボットネットは進化しており、Windowsユーザーに積極的な脅威をもたらします。このボットネットは、メキシコ、チリ、ロシア、カザフスタンのカスペルスキーによって検出されています。

ツンデレボットネットは、Web3スマートコントラクトを使用してコマンドアンドコントロール(C2)アドレスを保存し、ボットネットインフラストラクチャの干渉耐性を高めます。そのC2パネルは、MSIインストーラと自動インプラント付きのPowerShellスクリプトの2つの展開方法をサポートしています。

この実装計画は、暗号化されたWebSocketを介して動的に送信される悪意のあるCOVIDコードを実行できるボットをインストールします。感染を管理するために、Tsundereは所定のイーサリアムウォレットと契約を使用します。

「Tsundereは、サイバー犯罪者がどれだけ迅速に適応するかを示しています:これは、特定されたとされる脅威アクターがデバイスをオーバーホールしようとする新しい試みです」と、カスペルスキーのグローバルリサーチアンドアナリシスチームのシニアセキュリティ専門家であるLisandro Ubiedoは述べています。

この分析は、ツンデレのボットネットの背後にいる脅威の加害者が、コード内のロシア語の使用によって示されるように、同じ加害者に関連する以前の攻撃と一致して、ロシア語を話す可能性が高いことを高い確信を持って示しています。

この研究はまた、ツンデレのボットネットと、地下フォーラムで120米ドルまたは約200万ルピアで提供された「コネコ」によって作成された123の販売者との関連性を示しています。

「偽のゲームインストーラや以前に観察された悪意のあるアクティビティへのリンクを介したアクティブな配信を見てきたため、このボットネットによるさらなる開発が起こる可能性が非常に高いです」とLisandro Ubiedo氏は述べています。