Kaspersky Labは8月18日(現地時間)、「PipeMagic in 2025: How the backdoor operators’ tactics have changed|Securelist」において、PipeMagicバックドアの進化とその最新の攻撃事例について報告した。

PipeMagicは2022年12月にRansomExxランサムウェア攻撃で初めて確認され、その後2024年にはサウジアラビアの組織を標的に再び登場した。そして2025年には、同じバックドアがサウジアラビアとブラジルの組織を狙った攻撃で再び利用されたことが判明した。Microsoftが4月に公開した121件の脆弱性修正のうち、悪用されていたのはCVE-2025-29824であり、この脆弱性の悪用にPipeMagicが関与していたことが確認された。

  • PipeMagic in 2025: How the backdoor operators’ tactics have changed|Securelist

    PipeMagic in 2025: How the backdoor operators’ tactics have changed|Securelist

偽ChatGPTクライアントからChrome更新ファイルまで - PipeMagicの最新戦術

PipeMagicの初期版は、USBフォーマットツール「Rufus」をトロイの木馬化したローダーを使って拡散し、CVE-2017-0144を悪用して産業系企業のネットワークに侵入した。このバックドアはリモートアクセスを提供するだけでなく、ネットワークゲートウェイとしても機能し、多様なコマンド実行を可能にした。

2024年の攻撃では、攻撃者が偽のChatGPTクライアントを餌に用い、Rustで書かれたアプリケーションを使って不正コードを展開した。これにより従来の脆弱性悪用ではなく、ソーシャルエンジニアリングを駆使した侵入手口に変化したことが確認された。

2025年の攻撃では、新たにMicrosoft Help Index FileやDLLハイジャックを利用する複数のローダーが確認された。これらのローダーはAESやRC4暗号化を用いてシェルコードを隠し持ち、復号後にPipeMagic本体を実行する仕組みを備えていた。また、正規のGoogle Chrome更新ファイルを悪用し、攻撃者が作成した悪意あるライブラリを読み込ませることで不正コードを展開するなど、より巧妙な持続性確保の方法が採用された。これらの戦術は標的環境に溶け込み、検知を回避することを目的としていた。

CVE-2025-29824の悪用手口

PipeMagic自体は過去のバージョンから大きく変化していないが、追加モジュールの存在が確認された。I/O操作を処理する非同期通信モジュール、追加ペイロードを読み込むローダーモジュール、C#アプリケーションを対象にしたインジェクターモジュールがその一例である。インジェクターモジュールはAMSIの検知機能をバイパスするために関数をパッチし、.NET環境に応じた実行を行う点が特徴的だ。これにより攻撃者は標的環境に適応しつつ、継続的にペイロードを展開できる柔軟性を獲得した。

最終的に攻撃者は、LSASSプロセスのメモリをダンプすることで認証情報を窃取し、ネットワーク内での横展開を可能にした。具体的には、ProcDumpツールをdllhost.exeに偽装して利用する手口が観測された。これはMicrosoftの分析でもCVE-2025-29824の悪用手口として言及されており、PipeMagic攻撃がこの脆弱性と結び付いていることを裏付けている。

今回の調査はPipeMagicの継続的な進化と攻撃者の戦術の高度化を示しており、脅威が依然として活発であることを強調するものだ。