2025年に入り、従来のマルウェアとは比較にならないほど巧妙な新型のマルウェアが増加しています。一般的なセキュリティ対策では防ぎきれないケースが増えています。

本記事では、2025年に発見された新型マルウェアについて、各特徴と感染手法を分かりやすく解説します。

感染が疑われる場合には、被害を最小限に抑えるためにも、専門のフォレンジック調査会社に迅速な相談をおすすめします。

＼24時間365日 相談受付／

2025年に確認された新型マルウェア

以下には、2025年に確認された新型マルウェアを紹介します。

リモートアクセス型マルウェア「FINALDRAFT」

FINALDRAFTは、2025年2月にElastic Security Labsが発見した新型のリモートアクセス型マルウェアです。WindowsとLinuxの両プラットフォームに対応し、Microsoft Outlookの下書き機能を悪用した秘匿通信により、検知を回避する高度な手法が特徴です。
さらに、国家レベルのサイバースパイ活動「REF7707」の一環として使用され、南米の政府機関をはじめ、東南アジアの通信・インフラ企業など、国際的な標的を持つと見られています。

主な特徴

• Outlook下書きを使った秘匿通信
  コマンド（r_）と応答（p_）をOutlookの下書きに保存し、メール送信を伴わずにC2通信を実現します。Microsoft 365の正規トラフィックに偽装され、検知されにくい構造です。
• Microsoft Graph APIの悪用
  設定ファイルに含まれるリフレッシュトークンを用いて、Microsoftと正規に認証されます。トークンはレジストリに保存され、再起動後も通信を維持します。
• 正規プロセスの偽装
  mspaint.exeなどのWindows標準プロセスにコードを注入し、マルウェアの動作を隠蔽します。
• Linuxにも対応
  Linux向けの亜種も確認されており、Graph APIのほか、HTTP/HTTPS、UDP/ICMP、DNSなど複数のC2通信方式を備えています。

攻撃チェーン

FINALDRAFTを利用した攻撃は、以下のような段階的プロセスで進行します。

感染後の動作フロー

感染後、FINALDRAFTは以下のような具体的な動作を行います。各ステップは痕跡を極力残さないよう工夫されており、検知や分析を困難にしています。

FINALDRAFTは、単一の機能にとどまらず、複数の高度な手法を段階的に組み合わせることで、攻撃の秘匿性・柔軟性・持続性を極限まで高めています。

出典：Bleeping Computer

正規のWEBサービスを悪用した多段階型のAsyncRATマルウェアキャンペーン

Desert Dexterは、2024年9月頃から中東・北アフリカ地域を中心に活動を開始したとされる新たなサイバー犯罪グループです。2025年2月には、カスタマイズされたAsyncRATを利用した新たなマルウェアキャンペーンが確認されました。

今回のキャンペーンでは、Facebook広告やTelegram、Dropboxといった正規のWebサービスを悪用した多段階型の拡散手法が特徴です。AsyncRAT自体は既知のリモートアクセス型マルウェアですが、Desert Dexterによるバージョンは機能面が強化され、検知回避のための暗号化やコード難読化も施されています。

被害対象は特定の業界に限定されておらず、商用・個人問わず広範なユーザーが標的となる可能性があると見られています。

特徴

• 正規サービスの悪用
  Facebook広告やDropboxといった正規サービスを利用し、利用者に安心感を与える形でマルウェアが配布されます。
• 機能の強化
  キーロガーや暗号資産ウォレットのスキャン、Telegramとの連携などが追加されています。
• 地域特化の攻撃
  アラビア語のコードなどから、特定地域を狙った設計が見られます。

感染経路と拡散方法

Facebookで一時的に作成されたニュースアカウントを通じて広告が出され、リンクをクリックするとTelegramやDropboxへ誘導されて、RAR形式のマルウェアファイルがダウンロードされます。

攻撃の流れ

Desert Dexterによる攻撃は、以下のようなステップで段階的に展開されます。

主な機能

• オフラインでのキーログ取得
• 暗号資産関連ソフトや拡張機能の自動検出
• Telegramを使った遠隔操作

出典：The Hacker News

バックドア型マルウェア「ANEL」

MirrorFaceは、中国と関係があるとされるAPT（高度持続的脅威）グループで、今まで主に日本のメディアや行政機関を標的として活動してきました。2024年後半以降は、標的をヨーロッパにまで拡大し、EUの外交機関に対する新たなサイバー攻撃が確認されています。

ESETの調査によると、攻撃には「ANEL」と呼ばれるバックドア型マルウェアが使用されており、2025年の大阪万博に関連するテーマの文書ファイルをおとりとして悪用していました。

特徴

• 古いバックドアANELの復活
  以前使用されていた「LODEINFO」から、2019年以降見られなかったANELへ切り替えています。
• AsyncRATの強化
  カスタマイズにより、通信の柔軟性や隠ぺい性が高まっています。
• HiddenFace（NOOPDOOR）の併用
  専用モジュールによる複数マルウェアの連携動作が確認されています。
• 正規ツールの偽装活用
  VSCode Remote TunnelsをC2通信に利用し、開発環境に見せかけています。

攻撃の流れ

以下は攻撃の流れを説明します。

主な機能

• 開発ツールに見せかけた通信で検出を回避
• イベントログや実行ファイルの削除で痕跡を残さない
• Windows Sandbox上で実行し、分析の妨害を図る

出典：The Hacker News

TryCloudflareとDropboxを悪用したAsyncRATマルウェアキャンペーン

2025年1月末、Forcepoint X-Labsによって報告された新たなマルウェアキャンペーンでは、TryCloudflareとDropboxを悪用してAsyncRATを配布する複雑な攻撃フローが確認されました。

攻撃は「AsyncRAT Reloaded」とも呼ばれ、メールの添付リンクから始まり、複数段階のファイル実行とスクリプトを経て最終的にAsyncRATを展開する仕組みです。特に注目すべきは、Pythonスクリプトとバイナリファイル（.bin）を活用した手法で、セキュリティ検出を回避しながら、複数のマルウェアをメモリ上で実行する点です。

攻撃の流れ

以下は本キャンペーンにおける攻撃の流れです。

技術的な特徴

• TryCloudflareのトンネルを利用
  一時的なURLを生成し、マルウェアホスティングに利用。正規サービスに偽装することで信頼性を装います。
• Python + .binファイルによる複合構成
  Pythonスクリプト「load.py」が複数のバイナリファイル（AsyncRAT、VenomRAT、XWormなど）を読み込み、プロセスインジェクションを実行します。
• Early Birdインジェクション技術の使用
  通常のAPCインジェクションよりも早期にコードを実行することで、EDR製品による検出を困難にします。
• 拡張ポートによるC2通信
  同一のC2サーバーに対して、異なるポート（例：62.60.190.141:3232、:4056）を使用して通信します。

攻撃の特徴

• Python環境が不要
  パッケージ内にPython実行環境を同梱しているため、Python未インストール環境でも攻撃が成立します。
• 多段階構成による検知回避
  初期段階は単なるURLやショートカットファイルに見え、複数ステップに分けて感染が進行するため、静的解析やシグネチャベースの防御が通用しません。
• 偽装による注意逸らし
  正規のPDFを同時に開かせることで、ユーザーの警戒心を低下させます。

上記キャンペーンでは、低コストかつ一時的なインフラを用いることで、広範囲に感染を拡大させる設計が採られています。AsyncRATの汎用性と、Pythonによる柔軟性が組み合わさったこの新手法は、今後も類似の攻撃が続く可能性があります。

出典：Forcepoint X-Labs

上記マルウェアに感染が疑われる場合には、被害を拡大させないためにも、専門のフォレンジック調査会社に早急な相談をおすすめします。

まとめ

サイバー攻撃は日々進化しており、新型マルウェアはより巧妙かつ執拗な手法で使用者を狙っています。従来のウイルス対策ソフトやファイアウォールだけでは防げないケースが増加しており、技術的な備えに加えて、万一の際の迅速な初動対応が求められます。

予防策については、以下の記事で詳しく解説しています。

＞マルウェア感染を防ぐための対策を徹底解説

感染してしまった場合の対応フローについても、以下を参考にしてください。

＞マルウェア感染時の具体的な対処法はこちら

感染の兆候が見られる、または不審な挙動が続く場合は、専門家に相談することで状況を正確に把握し、適切な対応が可能になります。

＼24時間365日 相談受付／