Huntressの調査により、マルウェアGootLoaderが2025年10月2下旬以降再び活動を開始したことが明らかになった。確認された3件の感染のうち2件では、初期感染から17時間以内にドメインコントローラーが侵害された。
セキュリティ研究者Anna Phamによると、GootLoaderは現在、カスタムWOFF2フォントとグリフ置換を利用してファイル名を難読化し、WordPressのコメントエンドポイントを悪用してXOR暗号化されたZIPペイロードを配信している。
このマルウェアローダーは、Hive0127として追跡される脅威アクターに関連し、SEOポイズニング戦術を通じて配布される。最新の攻撃では、Bingで特定の検索用語を入力したユーザーがZIPアーカイブに誘導される。
ZIPファイルはVirusTotalやPythonのZIPユーティリティで開くと無害なTXTファイルとして表示されるが、Windows エクスプローラーでは有効なJavaScriptファイルを展開する。
このJavaScriptペイロードはバックドアSupperを展開し、SOCKS5プロキシングとリモートシェルアクセス機能を提供する。
From: 
GootLoader Is Back, Using a New Font Trick to Hide Malware on WordPress Sites
【編集部解説】
このGootLoaderの復活は、サイバー攻撃における「難読化技術の革新」として注目すべき事例です。特に今回採用されたWOFF2フォントによるグリフ置換という手法は、フォント本来の目的を逆手に取った巧妙な回避技術といえます。
通常、Webフォントはデザインのために使われますが、GootLoaderはこれをマルウェア検出回避の武器に変えました。ソースコードを解析しようとすると意味不明な記号の羅列が表示されるのに、ブラウザ上では正常なファイル名として表示される。この二重性が、セキュリティツールによる自動解析を困難にしています。
技術的な観点から見ると、Base64より効率的なエンコード方式で、データサイズ増加を約25%に抑え、JavaScriptコードに直接埋め込む手法は、外部ファイルへの依存を排除し、痕跡を最小化する戦略として理にかなっています。さらに、ZIPファイルを開くツールによって異なる内容が展開される多態性も持たせており、VirusTotalのような解析プラットフォームを欺くことができます。
最も警戒すべきは攻撃のスピードです。初期感染から17時間以内にドメインコントローラーが侵害されるという速度は、従来の多段階攻撃と比較しても異常に速い。これは、GootLoaderが提供するアクセス権を、Vanilla Tempest(FIN7と関連が指摘されるグループ)のようなランサムウェア攻撃グループが購入・利用する分業体制が確認されているということです。
この攻撃手法が示唆するのは、WordPressサイトのコメント機能という「信頼された正規の機能」が攻撃インフラとして悪用されるリスクです。WordPressは全世界のWebサイトの約43%で使用されており、この攻撃手法が拡散すれば影響範囲は計り知れません。
興味深いのは、攻撃者が「最先端の技術」ではなく「十分に良い技術」を選択している点です。Huntressの指摘にもあるように、適切に難読化された基本的なツールで目的を達成できるなら、ゼロデイ脆弱性のような高度なエクスプロイトは不要という合理的な判断が見て取れます。これはサイバー犯罪のコスト最適化とも言えるでしょう。
組織にとっての教訓は明確です。SEO検索で上位に表示される契約書テンプレートなどの法的文書を安易にダウンロードしない、そして何より、初期感染から数時間以内に対応できる検知・対応体制の構築が生死を分けるということです。
【用語解説】
GootLoader
JavaScriptベースのマルウェアローダーで、2014年頃から活動している脅威グループHive0127(別名UNC2565)が使用している。検索エンジン最適化(SEO)ポイズニングを通じて配布され、侵害されたWordPressサイトを経由してランサムウェアなどの追加マルウェアを配信する。
WOFF2(Web Open Font Format 2.0)
Webページで使用されるフォントファイルの圧縮フォーマット。W3Cによって標準化されており、TrueTypeやOpenTypeフォントをより効率的に圧縮できる。通常はデザイン目的で使われるが、今回は難読化手法として悪用された。
グリフ置換
フォントファイル内の文字と視覚的な形状(グリフ)の対応関係を変更する技術。本来は特殊な文字表現のために使われるが、GootLoaderでは意味不明な文字を正常なファイル名として表示させるために悪用されている。
SEOポイズニング(SEO poisoning)
検索エンジンの検索結果を操作し、悪意のあるWebサイトを上位に表示させる攻撃手法。ユーザーが検索結果の上位を信頼する心理を悪用し、正規のサイトに見せかけてマルウェアを配布する。
XOR暗号化
排他的論理和(XOR)演算を使用する暗号化手法。平文とキーをビット単位でXOR演算することで暗号文を生成する。同じキーで再度XOR演算すると元の平文に戻る自己逆演算の性質を持つ。
Z85エンコーディング
バイナリデータをテキスト化する符号化方式の一つ。Base64(約33%増)より効率的で、データサイズの増加を約25%に抑えられる
SOCKS5プロキシ
インターネット通信を中継するプロトコルの一種。認証機能を備え、TCP/UDP両方のトラフィックを転送できる。攻撃者は感染端末をSOCKS5プロキシとして利用し、攻撃元を隠蔽したり、内部ネットワークへのアクセスを維持したりする。
ドメインコントローラー
Windows Active Directory環境において、ユーザー認証やアクセス制御を管理する中核サーバー。組織のネットワーク全体を統制する役割を持つため、侵害されると攻撃者が全システムへのアクセス権を獲得することになる。
WinRM(Windows Remote Management)
Windowsシステムをリモートから管理するためのMicrosoft公式プロトコル。正規の管理ツールだが、攻撃者がネットワーク内で横展開(ラテラルムーブメント)する際に悪用されることが多い。
【参考リンク】
Huntress(外部)
24時間365日体制のSOCによる脅威検出・対応サービスを展開するマネージドサイバーセキュリティプラットフォーム提供企業。
The Hacker News(外部)
世界中のセキュリティ研究者による最新の脅威情報、脆弱性、攻撃手法に関する記事を日々配信するサイバーセキュリティメディア。
Malpedia(外部)
フラウンホーファー研究所運営のマルウェアデータベース。各マルウェアファミリーの技術的詳細や関連脅威アクターを体系的に整理。
【参考記事】
Gootloader | Threat Detection Overview – Huntress(外部)
Anna Pham研究者によるGootLoaderの最新攻撃手法の詳細な技術解析。WOFF2フォント難読化技術を詳述。
Gootloader malware back for the attack – The Register(外部)
GootLoaderの復活と17時間以内のドメインコントローラー侵害という攻撃速度の速さについて報じた記事。
UNC2565 (Threat Actor) – Malpedia(外部)
脅威アクターHive0127(UNC2565)の活動履歴とTTPを体系的にまとめたデータベース記事。
【編集部後記】
私たちが普段何気なく使っている検索エンジンが、攻撃の入り口になるという現実を、改めて考えてみませんか。契約書のテンプレートや法的文書を探すとき、検索上位のサイトを無条件に信頼してしまう心理を、攻撃者は巧みに利用しています。
今回のGootLoaderは、Webフォントという身近な技術を悪用した点も興味深く、技術そのものに善悪はなく、使い方次第で牙を剥くという教訓を示しています。みなさんの組織では、初期感染から数時間以内に対応できる体制は整っているでしょうか。
