金銭的動機を持つ脅威アクター「EncryptHub」(別名LARVA-208、Water Gamayun)による新たな攻撃キャンペーンが2025年7月20日にスイスのサイバーセキュリティ企業PRODAFTによって報告された。
同グループは偽のAIプラットフォーム「Norlax AI」を使用してTeampilotを模倣し、求人面接やポートフォリオレビューを装ってWeb3開発者を標的としている。
攻撃者はXやTelegramを通じて開発者に会議リンクを送信し、Web3求人掲示板「Remote3」の応募者も標的としている。Remote3のセキュリティ警告を回避するため、最初にGoogle Meetで面接を行い、その後Norlax AIでの面接継続を指示する巧妙な手口を使用している。被害者がリンクをクリックするとRealtek HD Audio Driverを装った悪意のあるソフトウェアがダウンロードされ、PowerShellコマンドを実行してFickle Stealerマルウェアを展開する。収集された情報は「SilentPrism」というコードネームの外部サーバーに送信される。
同時期に報告された新たな脅威として、2025年6月に出現したランサムウェア「KAWA4096」は11社を標的とし、最も多くの標的は米国と日本に位置している。また、「Crux」ランサムウェアがBlackByteグループの一部と主張し、2025年7月4日と13日に3件の攻撃事例が検出された。
From: 
EncryptHub Targets Web3 Developers Using Fake AI Platforms to Deploy Fickle Stealer Malware
【編集部解説】
Web3開発者が標的となる理由は、単に暗号通貨を保有しているからではありません。彼らは往々にして複数のプロジェクトに関与し、テストネット用の資金、開発者向けのトークン配布、さらには未公開プロジェクトの情報にアクセス可能な立場にいます。従来の企業環境とは異なり、分散型の働き方が一般的なため、セキュリティ対策も個人に依存する部分が大きいのが実情です。
攻撃手法の巧妙さ
今回の攻撃で注目すべきは、Remote3の警告を回避するために一度Google Meetで面接を行うという多段階のソーシャルエンジニアリングです。これは単なる技術的な攻撃ではなく、人間の心理を深く理解した手法といえるでしょう。
詳細な分析によると、EncryptHubは複数の段階に分けて攻撃を実行し、PowerShellスクリプトの複数層を使用してシステム情報の収集、データの流出、検知回避技術の実行を行っています。
Fickle Stealerの技術的特徴
今回使用されたFickle Stealerは、Trend Microの報告によると「fickle_payload.ps1」というファイル名で配布されており、Base64エンコーディングを使用した難読化技術を採用しています。このマルウェアは暗号通貨ウォレット、メッセージング認証情報、Cookieなどを収集し、ポート8081経由でHTTPS通信により外部サーバーに送信します。
ランサムウェア動向との関連性
同時期に報告されたKAWA4096とCruxという新しいランサムウェア株の出現も見逃せません。特にKAWA4096は「川」を意味する日本語を含む名称で、日本を主要な標的の一つとしています。これは偶然とは考えにくく、日本のWeb3エコシステムの成長と無関係ではないでしょう。
Water Gamayunとの関連性
Trend Microの調査によると、EncryptHubはWater Gamayun(ロシア系と推定される脅威アクター)の別名であり、2025年3月にはMSC EvilTwin(CVE-2025-26633)ゼロデイ脆弱性を悪用した攻撃も実行していることが判明しています。これは単発の攻撃ではなく、継続的な脅威活動の一環として位置づけられます。
業界への長期的影響
この事件は、Web3業界のセキュリティ成熟度について重要な問題を提起しています。分散型という理想と、実際のセキュリティリスクとの間には大きなギャップが存在するのが現実です。今後、Web3プロジェクトにおいては、技術的な分散化と並行してセキュリティガバナンスの標準化が急務となるでしょう。
防御の方向性
単純な技術的対策だけでなく、Web3コミュニティ全体でのセキュリティ意識の向上と情報共有が不可欠です。特に、求人や協業の申し出に対する検証プロセスの標準化は、業界全体で取り組むべき課題といえるでしょう。
【用語解説】
Web3
従来の中央集権型インターネット(Web2.0)に対し、ブロックチェーン技術を基盤とした分散型インターネットの概念。ユーザーがデータの所有権を持つことが特徴である。
情報窃取マルウェア(インフォスティーラー)
感染したコンピュータから機密情報を収集・送信する悪意のあるソフトウェア。パスワード、暗号通貨ウォレット情報、個人データなどを標的とする。
Fickle Stealer
PowerShellベースの情報窃取マルウェア。Base64エンコーディングによる難読化技術を使用し、暗号通貨ウォレットや認証情報を収集する。
PowerShell
Microsoft社が開発したコマンドライン シェル及びスクリプト言語。攻撃者がシステムを制御し、悪意のあるコードを実行するために悪用される。
ランサムウェア
ファイルを暗号化してアクセス不能にし、復号のために身代金を要求する悪意のあるソフトウェア。
KAWA4096
2025年6月に出現した新しいランサムウェア株。「川」という日本語を含む名称で、米国と日本を主要標的とする。
CVE-2025-26633(MSC EvilTwin)
Microsoft Management Consoleフレームワークの脆弱性。Water Gamayunによって悪用されたゼロデイ脆弱性で、2025年3月11日にパッチが適用された。
C2サーバー(Command and Control server)
攻撃者がマルウェアに感染したコンピュータを遠隔操作するために使用する指令制御サーバー。
ソーシャルエンジニアリング
技術的手段ではなく、人間の心理的弱点を突いて機密情報を入手したり、不正行為を行わせる攻撃手法。
EDR(Endpoint Detection and Response)
エンドポイント(PC、サーバーなど)での脅威検知・対応を行うセキュリティソリューション。
【参考リンク】
PRODAFT(外部)
スイスのサイバーセキュリティ企業。脅威インテリジェンスとリスク管理ソリューションを提供し、今回のEncryptHub攻撃キャンペーンを発見・報告した。
Trustwave(外部)
マネージド検知・対応を専門とするサイバーセキュリティ企業。SpiderLabsチームがKAWA4096ランサムウェアの分析を行った。
Huntress(外部)
24/7 SOCによるマネージドサイバーセキュリティプラットフォームを提供。Cruxランサムウェアの発見・分析を実施した。
Trend Micro(外部)
日本発のグローバルサイバーセキュリティ企業。Water Gamayunの詳細な技術分析とインフラ調査を実施し、包括的な脅威レポートを公開。
【参考記事】
A Deep Dive into Water Gamayun’s Arsenal and Infrastructure(外部)
Water Gamayunの包括的技術分析。CVE-2025-26633脆弱性の悪用からFickle Stealerまで攻撃インフラ全体を解明した詳細な調査報告。
LARVA-208’s New Campaign Targets Web3 Developers(外部)
LARVA-208の最新キャンペーンに関する詳細レポート。Web3開発者を標的とした偽AIプラットフォーム攻撃の手法と被害状況を分析。
KAWA4096’s Ransomware Tide: Rising Threat With Borrowed Styles(外部)
KAWA4096ランサムウェアの詳細分析。2025年6月出現後11社を攻撃し、AkiraとQilinグループの手法を模倣した新興脅威として報告。
Getting to the Crux (Ransomware) of the Matter(外部)
HuntressによるCruxランサムウェアの技術分析。BlackByteグループとの関連性と2025年7月の攻撃事例について詳述。
【編集部後記】
この記事を通じて、Web3開発者が直面するセキュリティ脅威の深刻さを実感された方も多いのではないでしょうか。特に、AIという最新技術を悪用した攻撃手法の巧妙さには、私たち編集部も驚かされました。
みなさんの中には、フリーランスとして複数のプロジェクトに関わっている開発者の方もいらっしゃるかもしれません。あるいは、Web3業界への参入を検討しながらも、こうしたリスクに不安を感じている方もいるでしょう。
今回の事案は、技術革新と安全性の両立がいかに重要かを物語っています。Web3の分散型という理想と、現実のセキュリティ課題との間にあるギャップを埋めるため、業界全体でどのような取り組みが必要なのか、ぜひ一緒に考えてみていただけないでしょうか。未来の技術を安全に育てていくのは、私たち全員の責任だと感じています。
サイバーセキュリティニュースをinnovaTopiaでもっと読む
ブロックチェーンニュースをinnovaTopiaでもっと読む
