2025年末、ダークウェブフォーラムに突如現れた情報窃取マルウェア「Arkanix Stealer」。AI(大規模言語モデル)を活用して開発されたとみられるこのマルウェアは、わずか数ヶ月で姿を消した。しかし、その短い活動期間の中で示された手口は、AIがサイバー犯罪の開発コストと時間を劇的に削減しうることを浮き彫りにしている。
この記事のポイント
- Arkanix Stealerは2025年10月にダークウェブで宣伝が開始され、12月には活動停止した短命なMaaS(Malware-as-a-Service)
- LLM(大規模言語モデル)による開発支援の痕跡が複数確認されており、AI悪用によるマルウェア開発の実例として注目
- PythonとC++の2種類の実装を持ち、ブラウザ認証情報・暗号通貨ウォレット・VPN資格情報など広範なデータを標的とした
Arkanix Stealerとは何か
Arkanix Stealerは、MaaS(Malware-as-a-Service)モデルで運営された情報窃取型マルウェアである。2025年10月、セキュリティ研究者がダークウェブフォーラムで「Arkanix Stealer」を宣伝する投稿を発見した。このサービスは、PythonとネイティブC++の2種類のインプラント、設定可能なコントロールパネル、ペイロード生成機能を提供していた。
無料アカウントでは標準的なPythonスティーラーを利用でき、プレミアムティアではネイティブC++スティーラー、ウォレットインジェクション、最大10ペイロード、優先サポートが含まれていた。さらに紹介プログラムも用意されており、紹介者には1時間の無料利用、被紹介者には7日間の無料トライアルが提供されるなど、正規のSaaSサービスを模倣したマーケティング手法が用いられていた。
広範な情報窃取能力
Arkanix Stealerの標的は非常に広範囲にわたる。Chrome、Firefox、Tor Browserなど22種類以上のブラウザから認証情報を抽出し、MetaMask、Binance、Exodus、Atomicなどの暗号通貨ウォレットや拡張機能も標的としていた。さらに、銀行のオートフィルデータ、決済カード情報、Telegram Desktopのセッションファイル、Discordの資格情報(自己伝播機能付き)も窃取対象だった。
VPN関連では、Mullvad、NordVPN、ExpressVPN、ProtonVPNのアカウント資格情報を標的とし、RDP接続情報やSteam、Epic Games、Battle.net、Riot、Ubisoft Connect、GOGなどのゲーミングプラットフォームの資格情報も収集していた。
C2(コマンド&コントロール)サーバーからダウンロード可能な追加モジュールには、Chrome Grabber、ウォレットパッチャー、スクリーンショットツール、HVNC(Hidden Virtual Network Computing)、FileZillaやSteamのスティーラーが含まれていた。
AI開発の痕跡とChromeセキュリティ回避
プレミアム版のC++実装には、RDP資格情報の窃取、アンチサンドボックス・アンチデバッグチェック、WinAPIベースのスクリーンキャプチャ機能が搭載されていた。特に注目すべきは「ChromElevator」と呼ばれるポストエクスプロイトツールで、中断されたブラウザプロセスにインジェクションし、GoogleのApp-Bound Encryption(ABE)保護を回避してユーザー資格情報に不正アクセスする設計になっていた。
セキュリティ研究者の分析では、コード全体にLLM(大規模言語モデル)による支援の痕跡が確認された。具体的には、utils.cppのような汎用的なファイル名、構造化されたコード組織、広範なデバッグ出力といった特徴が見られた。Visual Studioのプロジェクトスクリーンショットにはドイツ語の慣習が確認され、開発者の母語を示唆している可能性がある。
暗号化にはAES-GCMアルゴリズムとPBKDF2が併用されており、一部のサンプルではarkanix_secret_key_v20_2024というハードコードされた鍵が確認された。
感染経路と短命な活動
初期の配布はフィッシングを通じて行われ、discord_nitro_checker.pyやsteam_account_checker_pro_v1.pyといったローダーファイル名からその手口が推測できる。Pythonローダーは実行時にrequests、pycryptodome、psutilなどの依存関係をpip経由で自動インストールし、その後C2サーバーからスティーラー本体をダウンロードする仕組みだった。
インフラとしては、arkanix[.]pw(195.246.231[.]60)とarkanix[.]ruの2つのドメインが使用され、いずれもCloudflare経由でルーティングされていた。APIエンドポイントには、セッション登録(/api/session/create)、機能更新(/api/features/{payload_id})、データ送出(/delivery)などが含まれていた。
2025年12月頃、コントロールパネルとDiscordチャットは突然閉鎖され、メッセージや今後の開発計画の痕跡は残されなかった。約束されていたクリプターのリリースも実現しなかった。Kasperskyは本マルウェアをTrojan-PSW.Win64.Coins.*、HEUR:Trojan-PSW.Multi.Disco.gen、Trojan.Python.Agent.*として検出している。
知っておくと便利なTips
- AI生成コードの特徴(汎用的な命名規則、過度に構造化されたコード、広範なデバッグ出力)を知っておくと、マルウェア分析時に開発手法の推測に役立つ
- MaaSモデルのマルウェアは短命でも、コードやテクニックが後続のマルウェアに再利用されることがあるため、IOC(侵害指標)の記録は重要
- ゲームチェッカーやNitroジェネレーターを装ったファイルは情報窃取マルウェアの典型的な配布手法であり、信頼できないソースからの実行は厳禁
まとめ
Arkanix Stealerは活動期間こそ短かったものの、AIを活用したマルウェア開発の実態を示す重要な事例である。LLMの支援により、単独の開発者でも短期間で多機能な情報窃取マルウェアを構築できることが実証された。GoogleのApp-Bound Encryptionを回避するChromeElevatorツールの搭載など、技術的にも決して単純なものではなかった。今後、同様のAI支援型マルウェアがさらに増加することが予想され、セキュリティ業界はこの新たな脅威パターンへの対応を迫られている。短命なキャンペーンであっても、そのコードや手法が地下フォーラムで共有・再利用される可能性があるため、継続的な監視が不可欠である。
コメント