CDIのスレットインテリジェンスアナリスト川上です。12月2〜5日にマレーシア・クアラルンプールで開催されたAVAR2025に、弊社リサーチャー中島とLINEヤフー株式会社の首浦氏とともに登壇してきました。発表に至るまでの経緯や調査の流れ、当日の様子をレポートしたいと思います。
AVAR2025とは
AVAR(Association of anti Virus Asia Researchers)は、アジア発ながら国際的に注目されるマルウェア・セキュリティカンファレンスです。世界中から研究者や実務家が集まり、マルウェア解析、脅威インテリジェンス、サイバー防御に関する最新知見が共有されます。
後述するValleyRATは、日本を含む東南アジアで広く観測されているマルウェアであり、発表内容との相性は良かったように感じています。
ValleyRATとは
ValleyRATは、Gh0stRAT系統に由来すると評価されている、Windows環境を標的とするC++製のRATです。
ValleyRATのビルダーは、リークされたとみられる形でGitHubやVirusTotal上に公開されており、プロジェクト名がWinOSであることが判明しています。また、WinOS4.0やWinOS5.0といったバージョン違いの存在も確認されています。 加えて、ValleyRATのビルダーは、中国語圏で商用リモート管理ツールとして宣伝されていた「SunRAT」と呼ばれる製品と強い類似性を持つことが、外部調査によって指摘されています。SunRATを販売していたとみられるウェブサイトは現在大部分が閲覧不能となっていますが、デモ版製品とValleyRATビルダーを比較した結果、両者の間に共通点が確認されています。
このため、公開情報ではValleyRAT、WinOS(WinOS4.0/5.0)、あるいはSunRATといった名称で言及されることもあります。
RATとして標的端末上の基本的なシステム情報の収集や、追加ペイロードの実行、遠隔操作などが可能です。特徴の一つとして、プラグイン形式のアーキテクチャを採用しており、リモートサーバからプラグインを取得することで、機能を拡張できます。
近年は、日本を含む東南アジア地域を中心に観測されており、正規ソフトウェアやインストーラーを装って配布されるケースが多く報告されています。
公開情報では、ValleyRATは「SilverFox」と呼ばれるアクターに関連付けられることが多い一方で、配布手法、実行フロー、利用されるツールセットには大きなばらつきが見られます。このため、実行主体やその運用体制については不明瞭な点が多く残されています。本発表では、こうしたValleyRATの展開手法の多様性に着目し、実行フローの観点から整理・分析を行いました。
なぜLINEヤフーと共同発表したのか
CDIとLINEヤフーは、私が入社する以前から定期的に意見交換を行う関係があります。その中で、首浦氏のValleyRAT解析記事が端緒となり、両社で調査を広げれば登壇ネタとしても価値が出そうだということで、リサーチが始まりました。
発表までの道のり
登壇タイトルは「ValleyRAT Unleashed: A Deep Dive into its Modern Arsenal and Tactics」です。 本発表では、2025年にVirusTotalに投稿されたValleyRATを対象に、主として実行フローの解析を行いました。特に、実行フローをパターン化し、その多様性と数の多さを明らかにすることで、ValleyRATを使用するアクターが一般にSilverFoxとして単一のアクター名でラベリングされてきた既存の帰属に疑問を投げかける内容になっています。
リサーチ初期の状況
当初は、首浦氏が発見した「正規LINEインストーラーを騙るValleyRAT」周辺を整理すれば発表として成立すると考えていました。しかしVT上でValleyRAT判定を受けるファイルを探索したところ、数百件以上が見つかり、関連ファイルまで含めると膨大な量になることが判明しました。
同時に既存の公開レポートを洗い出したところ、すでに10本以上のレポートが公開されており、ValleyRATが東南アジアを中心に、情報窃取を狙うAPTライクな標的型攻撃に用いられるケースからマス向けのばらまきまで、幅広い用途で悪用されている実態が見えてきました。
想定以上に多様だったValleyRAT展開までの実行フロー
特に課題となったのは、既存レポートで言及されているValleyRAT展開までの実行フローがレポート毎に大きく異なっていた点です。この傾向は、我々が解析した検体群の結果とも一致していました。実際に確認された実行フローでは、以下のように使用されるツールや実装形態が多岐にわたっていました。
- MSI/InnoSetup/NSISなどのインストーラー型
- BYOVDを使用するタイプ
- PowerShell/BATなどのスクリプト型
- .NET/Go/Rust製バイナリによる展開型
このようにValleyRAT展開までに使用されるツールや実行フローの多様性が高く、かつ検体数も膨大であったため、VirusTotal上でのハンティングクエリの作成やOpenSearchを用いた実行フローの統計化といった、比較的マクロな観点での調査を中島が担当しました。一方、個別検体の詳細解析については、私と首浦氏で分担する形で調査を進めました。
公開情報では、ValleyRATを使用するアクターは「SilverFox」という単一の名称で追跡されている例が多く見受けられます。しかし、ツールセットの多さ、実行フローのパターンの多さ、さらにValleyRATのビルダーがリークされているという状況を踏まえると、これらの活動を単一アクターに帰属させることには疑義が生じました。
そこで本発表では、実行フローそのもののパターン化を中心テーマとし、最終的にValleyRATを用いた攻撃活動が複数の運用グループに分割され得る可能性を指摘する構成にしました。我々が調査した公開情報の範囲においては、ValleyRATを最終ペイロードとする攻撃の実行フローを網羅的に整理したレポートは確認できませんでした。本発表では、その調査過程で新たに確認された、既存の公開情報では言及されていない実行フローについても取り上げています。
このような整理を行うことで、仮に将来的にValleyRATの背後に単一アクターの存在が確認された場合であっても、広範な実行フローを体系化した知見自体の価値は失われないと考えています。
今回扱った範囲と今後の課題
今回の調査で見えてきたこと:
- ValleyRATの実行フローは2025年だけでも10パターン以上を確認
- 悪用ツールや流通形態、標的の多様さを鑑みると、「SilverFox=ValleyRAT」の単純モデルでは説明しきれない
一方で今回扱わなかった/扱いきれなかった部分もあります。
- TTP毎のValleyRATコンフィグの比較
- ValleyRATのC2インフラに基づく分類
ここは今後の調査テーマになりそうです。
発表当日
英語のスピーキングにはかなり不安があったため、事前にトークスクリプトを作成しました。 LLMに「発音しやすい単語を使う、一文を比較的短く」などと指示して作ってもらいました。
当日は会場レイアウト変更の影響もあり、初日の午前時点で進行は全体的に押し気味でした。Lunch Breakを削って調整するのかと思いきや、我々の発表は結果的に10分ほど遅れての開始となりました。持ち時間30分で構成したスライドだったため、後半はやや駆け足になり、司会者から残り時間を意識させる声掛けが入る場面もありました。
質疑応答の時間は最終的に確保されず、完全にカットされる形となりました。英語での質疑には不安もあったため正直なところ安堵した面もありますが、一方で、実行フローの多様性や帰属に関する問題意識について、現地の聴講者がどのような反応を示すのかを直接聞けなかった点は心残りでもあります。
最後に
公開情報の中には、ValleyRATの配布に用いられたドメイン登録費用だけでも、攻撃者が少なくとも$6,000以上を投じていると指摘するものもあり、本マルウェアが非常に活発に運用されていることがうかがえます。また、今回確認された検体数や実行フローの多様性を踏まえると、限られた期間でこれらを単独で網羅的に分析することは現実的ではありませんでした。
本調査および発表は、良質なリサーチテーマを提示してくれたLINEヤフー株式会社の首浦氏、ならびに過去の登壇経験を生かし、発表全体の方向性や取りまとめを主導してくれた弊社 中島の協力があってこそ実現したものです。この場を借りて感謝を述べたいと思います。
以上、AVAR2025登壇レポートでした。