脅威アクター: Black Cat(別名 ALPHV)
レポート日: 2026年1月9日
信頼度: 高
1. エグゼクティブサマリー
2026年1月初旬、セキュリティ研究者は、Black Cat(ALPHV)サイバー犯罪組織による大規模なSEOポイズニングキャンペーンを確認しました。
この攻撃は検索エンジンのランキング操作を悪用し、ユーザーを偽のソフトウェアダウンロードサイトに誘導、最終的にデータ窃取型バックドアマルウェアを配布します。
特徴:
• 2025年1月の2週間で中国国内約277,800台のシステムが感染
• 1日あたり最大62,000台以上の感染ピーク
• 攻撃は高度で大規模、信頼されるソフトウェア検索行動を悪用
Black Catは従来のランサムウェア攻撃から進化し、検索行動を利用したステルス型マルウェア配布と認証情報窃取へシフトしています。
2. 脅威アクタープロファイル
• **Black Cat(ALPHV)**は2022年以降活動する金銭目的のサイバー犯罪グループ
• 主にランサムウェア攻撃で知られるが、近年は詐欺、スパイウェア配布、暗号資産窃取に多様化
• 2023年にはAICoin取引プラットフォームを偽装し、暗号資産16万ドルを窃取
→ ブランド偽装とソーシャルエンジニアリングの常習性あり
3. キャンペーン概要
• 攻撃手法: SEO操作によりMicrosoft Bing検索結果の上位に偽サイトを表示
• 偽装対象ソフトウェア:
o Notepad++
o Google Chrome
o Obsidian
o WinSCP
o QQ International
o iTools
ユーザーは公式サイトに似せたフィッシングページに誘導され、疑念を抱かずにダウンロードを実行。
4. 攻撃チェーンと技術分析
4.1 初期アクセス
• ユーザーが検索結果上位の偽サイトをクリック
• 偽サイト例:
o cn-notepadplusplus[.]com
o cn-obsidian[.]com
o cn-winscp[.]com
o notepadplusplus[.]cn
→ 「cn」プレフィックスから中国ユーザー標的が推測される
4.2 マルウェア配布
• ダウンロードボタンをクリックするとGitHub偽装サイトへリダイレクト
o github.zh-cns[.]top
• ZIPアーカイブを配布し、インストーラがDLLサイドローディングを実行
4.3 ペイロードと機能
• C2サーバー: sbido[.]com:2869
• 機能:
o ブラウザ認証情報窃取
o キーストローク記録
o クリップボードデータ流出
o 永続的なリモートアクセス
5. 影響範囲
• 期間: 2025年1月7日~1月20日
• 感染ホスト数: 約277,800台
• 1日最大感染数: 62,167台
• 主な対象地域: 中国本土
SEOポイズニングとブランド偽装の組み合わせにより、個人だけでなく企業のエンドポイントにも重大なリスク。
参考
https://www.crowdstrike.com/en-us/blog/ai-tool-poisoning/