2025年11月17日公開
「正規ソフトを装ったインストーラーが、あなたのパソコンの防御をすべて無効化する」――そんな驚くべき攻撃が確認されました。
脅威の名は「Dragon Breath(ドラゴン・ブレス)」、通称APT-Q-27またはGolden Eye。
Elastic Security Labsの最新報告によると、このグループは「RONINGLOADER(ローニンローダー)」と呼ばれる多段階のマルウェアを用いて、セキュリティ製品を徹底的に破壊しながら遠隔操作型トロイの木馬「Gh0st RAT」を展開しているとのことです。
特に今回の攻撃は、中国語圏のユーザーを集中的に狙っており、感染経路にはGoogle ChromeやMicrosoft Teamsを装った偽インストーラーが使われていたと報じられています。
いわば「信頼できるアプリの皮をかぶったスパイソフト」。しかも、ただのウイルスではありません。
Windows Defenderなどの防御を“合法的な署名ドライバー”を悪用して停止させるなど、通常のウイルス対策では太刀打ちできないほど緻密な設計がなされています。
Elastic Security Labsの研究者、Jia Yu Chan氏とSalim Bitam氏は、こう警鐘を鳴らしました。
「この感染チェーンは複数段階にわたり、冗長な回避機構をいくつも備えています。目的は、中国市場で人気のあるエンドポイントセキュリティ製品を完全に無力化することです。」
記事を読み進める前に強調しておきたいのは、この攻撃は“今すぐ防げる単純な脅威”ではないということ。
RONINGLOADERはメモリ内で直接シェルコードを実行し、実行ファイルをディスクに残さないため、痕跡を追いにくいのです。
つまり、一般ユーザーだけでなく、企業のSOCチーム(セキュリティ運用センター)でさえ検知が難しいタイプのマルウェアということになります。
- Dragon Breathとは何者か:APT-Q-27/Golden Eyeの正体
- RONINGLOADERの多段感染チェーン
- 攻撃のターゲット:なぜ中国語圏ユーザーが狙われるのか
- セキュリティ製品を無力化する“巧妙な手口”
- DLLサイドローディングで隠れて動くGh0st RATの正体
- 「ブランド偽装」型の新キャンペーン:Campaign TrioとCampaign Chorus
- 防御が効かない理由:合法ソフトの悪用と“署名の信頼”問題
- 今回の事件が示す「セキュリティ転換点」
- 読者フォーラム:あなたの環境は安全ですか?
Dragon Breathとは何者か:APT-Q-27/Golden Eyeの正体
Dragon Breathは、中国語圏で活動するサイバー犯罪グループのひとつで、少なくとも2020年から活発に動いていると分析されています。
過去にはSophos(ソフォス)によって「ダブルディップDLLサイドローディング」と呼ばれる手法を使った攻撃が確認され、フィリピン、日本、台湾、香港、シンガポールなどを標的にしていました。
もともとはオンラインゲームやギャンブル業界を狙うスパイ活動を中心にしていましたが、近年はその範囲を拡大。
Miuuti Groupというより大きな中国語圏のサイバー勢力の一部としても認識されています。
このグループの特徴は、“静かに長く居座る”攻撃スタイルです。
目立つ派手な動作をせず、数か月から数年単位で感染を維持し、情報を少しずつ抜き取る。
この点で、国家支援型のAPT(Advanced Persistent Threat=高度持続的脅威)に近い性質を持っています。
Elasticの報告では、Dragon Breathが2025年に入ってからRONINGLOADERという新型のローダーを導入したことが確認されました。
このローダーこそが、今回の「防御破壊+Gh0st RAT展開」作戦の中核を担っています。
RONINGLOADERの多段感染チェーン
RONINGLOADERの感染経路は非常に複雑で、段階を踏んで徐々に防御を突破していく構造です。
最初のきっかけは、一見すると正規アプリのインストーラーに見えるファイル。
Elasticによると、これらは「trojanized NSIS installer(トロイ化されたNSISインストーラー)」で、Google ChromeやMicrosoft Teamsなど人気ソフトの名をかたって配布されていました。
実際には、そのインストーラーの中にさらに二つのNSISインストーラーが埋め込まれています。
一方は正規ソフトを普通にインストールし、ユーザーに疑いを持たせません。
もう一方がRONINGLOADER本体を呼び出す「罠」です。
この悪意あるインストーラーは、DLLファイルと暗号化された「tp.png」というファイルを展開します。
PNG画像のように見えるこのファイルには、実際は**隠されたシェルコード(shellcode)**が含まれており、DLLがそれを読み取って解凍・実行します。
いわば“画像に隠されたウイルスの種”です。
ここでRONINGLOADERは次のステップに移ります。
まず「ntdll.dll」を新たに読み込み、ユーザー空間のフックを外します。
これにより、セキュリティソフトが監視しているフック機構をすり抜けるのです。
その後、「runas」コマンドを使って自分自身の権限を昇格させ、システムレベルの操作を可能にします。
次に行うのが、**ウイルス対策ソフトの“排除”**です。
RONINGLOADERは、実行中のプロセスをスキャンして、あらかじめ組み込まれたリスト――
Microsoft Defender、Kingsoft Internet Security、Tencent PC Manager、そしてQihoo 360 Total Security――を探し出します。
これらが見つかると、プロセスを強制終了させるか、特殊なドライバーを用いて完全に削除します。
特にQihoo 360系の製品がインストールされている場合には、RONINGLOADERはさらに入念な手順を踏みます。
ファイアウォールを操作して通信を一時遮断し、Volume Shadow Copy(VSS)サービスにコードを注入、
「ollama.sys」という署名付きドライバーを使ってQihooのプロセスを根こそぎ止める――という、まるで軍事作戦のような流れです。
この時点で、端末の防御機能はほぼすべて無効化されます。
まるで“防具を剥ぎ取られた状態”で、次の攻撃を受けるわけです。
攻撃のターゲット:なぜ中国語圏ユーザーが狙われるのか
Dragon Breathがここまで中国語圏にこだわるのには、いくつか理由があります。
まず第一に、攻撃対象となるソフトウェアやセキュリティ製品が地域特有である点です。
例えばQihoo 360やHuorong Securityなど、中国国内で人気のセキュリティスイートは、海外ではほとんど利用されていません。
RONINGLOADERはこれらを標的として設計されているため、明らかに中国市場を主眼に置いているのです。
また、中国語話者を狙うことで、偽装アプリの信頼性が高く見えるという効果もあります。
たとえば「腾讯会议(Tencent Meeting)」や「搜狗浏览器(Sogou Browser)」など、よく使われるアプリ名でインストーラーを偽装すれば、
多くのユーザーが疑わずにインストールしてしまうのです。
Elasticの分析によると、攻撃対象は個人ユーザーだけではなく、オンラインゲームや賭博サイトの運営者、VPN利用者なども含まれています。
つまり“金銭と通信”の両方が狙われている。
そして、その先にはGh0st RATによる遠隔操作が待っているわけです。
セキュリティ製品を無力化する“巧妙な手口”
RONINGLOADERの恐ろしいところは、防御を破るだけでなく、合法的なWindows機能を悪用する点にあります。
Elasticの報告書では、PPL(Protected Process Light)やWindows Error Reporting(WerFaultSecure.exe)を利用して
Microsoft Defenderを停止させる「EDR-Freeze」というテクニックが確認されています。
さらに、Windows Defender Application Control(WDAC)のポリシーを書き換え、
Qihoo 360やHuorong Securityを“ブロックリストに追加する”という逆転の発想まで採用。
つまり、Windows自体に「これらのセキュリティソフトを使わせないよう命令する」わけです。
一度この状態になると、一般ユーザーはDefenderを再起動できず、
しかもシステムは「安全」と誤認して動き続けます。
この巧妙さ、まさにプロフェッショナルの犯行と言っていいでしょう。
ここまでの流れを整理すると――
- 正規アプリを装った偽インストーラーを配布
- DLL+PNG(暗号化データ)で多段感染
- 防御機構をフック解除+昇格で突破
- セキュリティ製品をドライバー経由で削除
- WDACやPPLを悪用して再起動も封じる
という、ほぼ完璧な“防御破壊チェーン”です。
DLLサイドローディングで隠れて動くGh0st RATの正体
RONINGLOADERの最終段階で実行されるのが、「Gh0st RAT(ゴースト・ラット)」と呼ばれる遠隔操作型トロイの木馬です。
名前の通り、“幽霊(Ghost)”のように姿を隠しながら活動するマルウェアで、感染した端末を完全にリモート操作できる力を持っています。
Elastic Security Labsによると、このGh0st RATは従来版から改良されており、「regsvr32.exe」など正規のWindowsプロセスに自身を注入して活動を隠蔽する設計になっています。
最終的には「TrustedInstaller.exe」や「elevation_service.exe」といった高権限プロセスに潜り込み、あたかもWindows標準のサービスのように振る舞うのです。
ここが特に危険なポイントです。
Windows Defenderなどのセキュリティソフトは、署名付きの正規プロセスを原則的に信頼します。
つまり、「regsvr32.exe」や「svchost.exe」にマルウェアが潜んでいても、通常の監視では“合法的な動作”とみなされ、警告を出さないのです。
このGh0st RATは、侵入後に次のような行動を取ります。
- Windowsレジストリの設定変更(持続化やキー情報の改ざん)
- イベントログの削除(証拠隠滅)
- 外部サーバーから追加のコマンドを受け取り実行
- クリップボードの監視とデータ窃取
- シェルコードのsvchost.exeへの注入
- cmd.exe経由のコマンド実行
- スクリーンキャプチャ、キーログ、ウィンドウタイトルの記録
つまり、感染した瞬間に、攻撃者はその端末を完全に支配できる状態になるということです。
このRAT(Remote Access Trojan)は、企業ネットワークの内部監視やメール転送設定の改変などにも悪用され、特に機密情報を扱う業界では致命的なリスクになります。
「ブランド偽装」型の新キャンペーン:Campaign TrioとCampaign Chorus
Elasticが報告したRONINGLOADERキャンペーンと時を同じくして、Palo Alto NetworksのUnit 42が**「Gh0st RATを配布するブランド偽装キャンペーン」**の存在を明らかにしました。
この活動はDragon Breathと直接の関連が確認されたわけではないものの、使用されるツール群と感染経路の類似性から、同じ攻撃エコシステムの一部である可能性が高いと見られています。
最初のキャンペーンは2025年2月から3月にかけて行われ、「Campaign Trio」と名付けられました。
i4tools、Youdao、DeepSeekといった有名アプリを装った偽サイトが2000以上も作られ、ZIP形式のアーカイブにマルウェアが仕込まれていたのです。
続く5月の第2波では「Campaign Chorus」と呼ばれるさらに大規模な攻撃が展開され、QQ Music、Sogou Browser、さらにはVPNツールや教育系アプリなど40種類以上のブランドが偽装対象にされました。
この手口は非常に巧妙で、まず偽サイトからZIPをダウンロードさせ、その中のMSIインストーラーを実行すると、埋め込まれたVisual Basic Script(VBS)が動作します。
VBSは内部で暗号化されたDLLを復号し、DLLサイドローディングを利用して最終ペイロードを実行するという流れです。
つまり、ユーザーは見た目上“正規アプリをインストールしただけ”のつもりでも、裏では複数段階のマルウェアがすでに動いているのです。
Unit 42の研究チーム(Keerthiraj Nagaraj氏ら)は、報告の中でこうまとめています。
「攻撃者は単に新しい仕組みを導入しているわけではない。旧インフラと新インフラを同時に運用し、複数の手法を並行して試している。」
つまり、これは実験的なA/Bテストのようなもので、どの攻撃手法が最も効率的に感染を広げられるかをリアルタイムで検証しているというわけです。
この持続性と柔軟性こそが、Dragon Breath系攻撃の恐ろしさの本質です。
防御が効かない理由:合法ソフトの悪用と“署名の信頼”問題
ここまでの分析を踏まえると、共通するキーワードは「信頼の悪用」です。
セキュリティソフトもOSも、“署名付き”であれば安全であるという前提で動いています。
しかし、RONINGLOADERやGh0st RATは、その署名を逆手に取って正規ソフトに寄生し、合法的なプロセスとして動作してしまうのです。
さらに攻撃者は、Microsoftの「PPL(Protected Process Light)」という保護機構を逆利用し、Defenderのプロセスを“安全な形で停止”させるという離れ業まで使っています。
PPLは本来、ウイルスがセキュリティソフトを殺すのを防ぐ仕組みなのですが、設定を巧みに書き換えれば、その防御そのものを逆に消すことができる。
このような構造的な抜け道を突かれてしまうと、従来型のアンチウイルスではほぼ検知不可能です。
つまり、私たちは「マルウェアがファイルとして存在する」という前提から脱却しなければなりません。
攻撃者はすでに“ファイルレス感染”と“メモリ常駐型実行”に完全に移行しており、もはや署名やスキャンだけでは追いつかない時代に入っているのです。
今回の事件が示す「セキュリティ転換点」
RONINGLOADERとGh0st RATの連携攻撃は、一見すると遠い国の話のように聞こえるかもしれません。
しかし実際には、グローバルに展開するソフトウェア配布モデルの弱点を突いた攻撃でもあります。
中国語圏向けのアプリが標的とされていますが、その中には多国籍企業のVPNクライアントやブラウザーが含まれており、世界中のユーザーが間接的に影響を受ける可能性があります。
さらに、Dragon Breathの活動には「セキュリティ製品へのリバースエンジニアリング」や「署名ドライバーの不正流通」など、国家レベルの支援を示唆する要素も複数見つかっています。
実際、Miuuti Group全体は中国政府系のサイバー諜報網と関係しているとの分析もあり、単なる金銭目的攻撃ではないと見られています。
今回の報告を受け、セキュリティ業界内では「AI主導の自動防御システム」の必要性が再び注目されています。
つまり、人間がサンプルを解析してシグネチャを作る従来のサイクルでは、攻撃速度に追いつけないのです。
AIを使って“未知の挙動そのもの”を検知し、プロセスの異常連鎖をリアルタイムで止める。
今後のセキュリティは、こうした振る舞い検知型・ゼロトラスト型の方向に進化するしかないでしょう。
読者フォーラム:あなたの環境は安全ですか?
ここまで読んで、「もしかして自分の使っているアプリも…?」と感じた方もいるかもしれません。
実際、被害報告は特定の国や組織に限られておらず、一般ユーザーの中にも感染例が確認されています。
もし最近、ChromeやTeamsの“アップデート版”を非公式サイトからダウンロードした記憶があるなら、今すぐ確認してください。
Windowsのイベントビューアーに不審なログが残っていないか、
Defenderが突然オフになっていないか、
あるいは「regsvr32.exe」が見覚えのない場所で動いていないか――。
フォーラムのコメント欄では、実際に感染調査を行ったユーザーの体験談を共有していきたいと思います。
「こうすれば検知できた」「このツールで除去できた」などの情報は、多くの人を救う手がかりになります。
Dragon Breathの攻撃は、技術的にも社会的にも“次世代型のサイバー戦争”の序章です。
私たちがそれに対抗できる唯一の手段は、情報を共有し、知識で武装すること。
さあ、あなたの環境ではどうでしょう?
コメント欄で意見を交わしながら、セキュリティの「次の一歩」を一緒に考えていきましょう。
