Hunting for enemy infrastructure in Japan

概要 / Overview

Censysの検索機能を用いて、C2とラベル付けされた日本国内のインフラストラクチャを調査しました。調査期間は2025年3月24日から3月30日までです。合計14件のC2サーバーが検出され、Cobalt Strikeをはじめとした複数のマルウェアツールが利用されていることが確認されました。
Using Censys, we investigated infrastructure labeled as Command and Control (C2) located in Japan. The investigation period was from March 24th to March 30th, 2025. A total of 14 C2 servers were detected, with various tools in use, including Cobalt Strike.

サマリ / Summary

期間 / Period: 2025年3月24日～30日
検出されたC2サーバー数 / Total Number of C2 Servers: 14 IPs

C2種別内訳 / Type of C2 Servers Found

Censys label	Count
Cobalt Strike	5
Pupy RAT	2
Quasar	1
NetSupportManager RAT 7	1
NetSupportManager RAT 9	1
NetSupportManager RAT 8	1
Havoc	1
Sliver	1
byob	1

詳細データ / Aggregate Data

No	Date	IP	Autonomous System Number	Autonomous System Label	Censys label
1	3月24日	176[.]97[.]71[.]35	9009	M247 Europe SRL	Quasar
2	3月24日	139[.]180[.]202[.]103	20473	AS-VULTR	Cobalt Strike
3	3月25日	178[.]157[.]61[.]161	25820	IT7NET	Pupy RAT
4	3月25日	35[.]78[.]186[.]43	16509	AMAZON-02	NetSupportManager RAT 7
5	3月25日	167[.]88[.]186[.]143	400464	VMISS	Cobalt Strike
6	3月26日	18[.]183[.]153[.]54	16509	AMAZON-02	NetSupportManager RAT 9
7	3月27日	52[.]193[.]58[.]5	16509	AMAZON-02	NetSupportManager RAT 8
8	3月27日	74[.]176[.]200[.]142	8075	MICROSOFT-CORP-MSN-AS-BLOCK	Havoc
9	3月27日	45[.]32[.]36[.]91	20473	AS-VULTR	Cobalt Strike
10	3月27日	38[.]60[.]212[.]216	138915	Kaopu Cloud HK Limited	Cobalt Strike
11	3月29日	38[.]60[.]212[.]90	138915	Kaopu Cloud HK Limited	Cobalt Strike
12	3月29日	92[.]112[.]53[.]174	212238	Datacamp Limited	Sliver
13	3月30日	172[.]105[.]213[.]140	63949	Akamai Connected Cloud	byob
14	3月30日	45[.]78[.]63[.]125	25820	IT7NET	Pupy RAT

This week's threat analysis

Target: Fake CAPTCHA

今月継続してFake CAPTCHAサイトの観測を行ってきましたが、3月29日に見つけた事例を紹介します。最終的にlummastealerと呼ばれるマルウェアへ感染するものでした。
I have been monitoring fake CAPTCHA sites this month and would like to share an example we found on March 29th. This one ended up infecting the user with malware called lummastealer.

感染フロー / Infection Flow

Fake CAPTCHA → PowerShell → Text File → PowerShell → ZANG.exe (lummastealer)

スクリーンショットと分析 / Screenshots & Analysis

CAPTCHAページ画面表示例
アクセスすると以下のような画面でした。
デベロッパーツールでもどのようなコマンドがあるか確認ことができます。
When I accessed it, I saw the following screen.
You can also check what commands are available in the Developer Tools.

PowerShellコード
スクリプトタグの最後の方にPowershellのコマンドがありました。
At the end of the script tag was a Powershell command.

シャープを取り除くと、コマンドをきれいに確認することができます。
今回はスタイリッシュ(笑)に、CyberChefを使って解析しました。このコマンドは、Curlでテキストファイルを取得する内容のようです。
By removing the #, the command becomes clearly visible.
This time, I took a stylish approach and used CyberChef for the analysis.
It appears that the command is designed to retrieve a text file using Curl.

hxxps://iplogger.co/24Bka7.txt

VirusTotal
https://www.virustotal.com/gui/domain/iplogger.co/detection

Textファイルの内容
このテキストファイルの中身は以下のようになっていました。
The contents of this text file were as follows.

全体的に読みづらい構造ですが、ところどころにコマンドなどが埋め込まれていました。
また、変数が隠されていたため、CyberChefを使って解析を行いました。
最終的に、EXEファイルをダウンロードする処理が含まれていることが判明しました。
The overall structure was difficult to read, but there were several commands embedded throughout.
Some variables were also obfuscated, so I used CyberChef to analyze them.
In the end, it turned out that the script was designed to download an EXE file.

hxxps://pub-52a9867addd74f149bdde47139ba41ee.r2.dev/ZANG.exe

マルウェア分析 / Malware Analysis

これをCAPE Sandboxで解析したところ、以下のような結果が得られました。
VirusTotalでは「lummastealer」とタグ付けされていました。
When analyzed with CAPE Sandbox the following results were obtained.
On VirusTotal it was detected as "lummastealer".

VirusTotal

https://www.virustotal.com/gui/file/0868b6cbcc448b505c5de06101b461a170d9bc58581364b5002fa9e465c1e7a9

Overview