{ "id": "88492b63-c5c4-47b2-9be3-819b0f989950", "created_at": "2026-04-06T00:09:57.63787Z", "updated_at": "2026-04-10T03:37:51.366728Z", "deleted_at": null, "sha1_hash": "1820c13e296fe1851fc14dae94a71288015f6690", "title": "HUI Loaderの分析 - JPCERT/CC Eyes", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 1101979, "plain_text": "HUI Loaderの分析 - JPCERT/CC Eyes\r\nBy 朝長 秀誠 (Shusei Tomonaga)\r\nPublished: 2022-05-15 · Archived: 2026-04-05 17:51:56 UTC\r\n攻撃者は、マルウェアの機能を隠蔽するために、マルウェア本体をエンコードし、実行時だけデコードして動\r\n作させることがあります。そのような場合、エンコードされたマルウェア本体は、ローダーと呼ばれるプログ\r\nラムにロードされて、実行されます。このように、マルウェアをローダーとエンコードされたマルウェア本体\r\nに分割することで、ローダーの機能を最小限にし、マルウェアの重要な機能を隠蔽することで、感染ホスト上\r\nで発見することが難しくなります。 今回は、このようなローダーの中で、2015年頃から使用されているHUI\r\nLoaderについて解説します。\r\nHUI Loaderの概要\r\nHUI Loaderについては、JSAC2022にて複数の攻撃グループによって使用されていることが指摘[1]されているロ\r\nーダーです。JPCERT/CCでも、HUI Loaderを使用した攻撃を2015年頃から確認しています。図1は、HUI Loader\r\nを使用した攻撃グループとHUI Loaderの変化を表したものです。\r\n図1: HUI Loaderの変遷\r\n最初にHUI Loaderの使用が確認されたのは2015年1月頃で、攻撃グループAPT10によって使用されていたことを\r\n確認しています。その後、2015年4月頃からは、Blue Termiteによって利用が始まりました。これらの攻撃グルー\r\nプは、以下の3種類のHUI Loaderにロードされるエンコードされたマルウェアを使用していました。なお、\r\nPoison IvyおよびQuasarは、オリジナルのものから攻撃者によってカスタマイズされたものでした。\r\nPlugX\r\nPoison Ivy [2]\r\nQuasar [3]\r\n2016年以降は、攻撃グループAPT10に使用されていることを継続的に確認していましたが、2020年6月以降に\r\nは、攻撃グループA41APTも使用するようになりました[1]。さらに、2021年8月以降は、攻撃グループDEV-0401\r\nhttps://blogs.jpcert.or.jp/ja/2022/05/HUILoader.html\r\nPage 1 of 7\n\nでも使用が開始されました[4]。 マルウェア本体をエンコードする方法は初期から変化はなく、以下のようにデ\r\nコードすることが可能です。\r\nfor i in range(len(enc_data)):\r\n data = ord(enc_data[i]) ^ 0x20 ^ ord(key[i % len(key)])\r\n dec_data.append(data)\r\n以降では、これまでに行われた以下のHUI Loaderの機能変更について説明します。\r\nPersistence\r\nパスワードのランダム化\r\nセキュリティ機能の無効化\r\n特徴的文字列の削除\r\nPersistence\r\nHUI Loaderは、Persistence機能があるものと、ないものが存在します。Persistence機能は、以下の3つのパターン\r\nを確認しています。\r\nサービス\r\nレジストリ(Runキー)\r\nスタートアップフォルダー\r\n多くのHUI Loaderは、サービスを登録して、再起動時にサービスとして起動します。サービス名などは、検体\r\nごとで異なります。レジストリから起動するタイプは、2015年頃は確認されましたが、最近の検体ではみられ\r\nていません。スタートアップフォルダーから起動するタイプは、図2の通りスタートアップフォルダーにLNKフ\r\nァイルを作成し、ショートカットファイル経由で起動します。\r\n図2: スタートアップフォルダーにLNKファイルを作成するコード\r\nパスワードのランダム化\r\nhttps://blogs.jpcert.or.jp/ja/2022/05/HUILoader.html\r\nPage 2 of 7\n\n2015年頃に確認されたHUI Loaderは、規則性のある文字列をパスワードとしてマルウェア本体をデコードして\r\nいました。そのため、複数の検体で同一のパスワードが使われることがよくありました。2016年以降は、パス\r\nワードがランダム化されて検体ごとで異なる値が使用されるようになりました。\r\n表1:HUI Loaderの使用するパスワード例\r\nsha256\r\ncreation\r\ntime\r\npassword\r\n8efcecc00763ce9269a01d2b5918873144746c4b203be28c92459f5301927961\r\n2015-\r\n05-21\r\n08:54:24\r\nqwe123#@!4567890\r\n421e11a96e810c834dd6b14b515ad7a5401813caa0555ddfb3490c3d82336e3d\r\n2015-\r\n07-14\r\n02:07:10\r\nqwe123#@!4567890\r\nbeb77e277510c4ff2797a314494606335f158a722cf6533fad62ba5d5789e2d3\r\n2015-\r\n07-16\r\n11:17:04\r\nqwe123#@!4567890\r\n074075eda7dde4396fb8aa441031cf88873b969273a9541f25b15fc35ec5ee49\r\n2017-\r\n05-24\r\n11:50:56\r\netweq0sH8zV6ggqRaBe\r\naf223370ff0da3c9a9314dc6bf9cb9d9c3a12e2e3c835643edeedad4b4f908fa\r\n2017-\r\n09-07\r\n09:51:04\r\nsdh7h327ogd28632fgd3f7fhn\r\nc3cb9d0650fcca22a61760fa072336a036a8a5e8eaa61cb72bc4b553a84aedd1\r\n2017-\r\n09-19\r\n05:03:45\r\ngef798w6g6f523fif5d3sdad\r\nセキュリティ機能の無効化\r\nHUI Loaderの中には、WindowsOSのセキュリティ機能である、Event Tracing for Windows(ETW)および\r\nAntimalware Scan Interface(AMSI)をバイパスすることを目的とするコードを持つものも存在します。図3およ\r\nび図4は、ETWおよびAMSIをバイパスするコードの一部です。\r\nhttps://blogs.jpcert.or.jp/ja/2022/05/HUILoader.html\r\nPage 3 of 7\n\n図3: ETWをバイパスするコード例\r\n図4: AMSIをバイパスするコード例\r\nAmsiScanBuffer関数および、EtwEventWrite関数の先頭をRETN命令に変更しています。\r\n特徴的文字列の削除\r\nHUI Loaderには、検体内に特徴的な文字列 HUIHWASDIHWEIUDHDSFSFEFWEFEWFDSGEFERWGWEEFWFWEWD が含まれていまし\r\nた。しかし、2021年12月以降は、この文字列を含まない検体も確認しています。図5は、特徴的文字列を持つ検\r\n体と持たない検体を比較したものです。\r\n図5: 特徴的文字列\r\n(左: 特徴的文字列なし、右: 特徴的文字列あり)\r\nおわりに\r\nhttps://blogs.jpcert.or.jp/ja/2022/05/HUILoader.html\r\nPage 4 of 7\n\nHUI Loaderは、2015年頃から少しずつアップデートが行われつつ、長い間使われているローダーです。今後\r\nも、引き続き使用されることが予想されます。今回紹介したHUI LoaderのIoCはGithub上で公開しています。必\r\n要に応じてご活用ください。\r\nhttps://github.com/JPCERTCC/HUILoader-research\r\nインシデントレスポンスグループ 朝長 秀誠\r\n参考情報\r\n[1] JSAC2022: カオス化するA41APTキャンペーンに対して私達ができること\r\n  https://jsac.jpcert.or.jp/archive/2022/pdf/JSAC2022_9_yanagishita-tamada-nakatsuru-ishimaru_jp.pdf\r\n[2] JPCERT/CC Eyes: 認証プロキシに対応したPoisonIvy\r\n  https://blogs.jpcert.or.jp/ja/2015/07/poisonivy.html\r\n[3] JPCERT/CC Eyes: Quasar Familyによる攻撃活動\r\n  https://blogs.jpcert.or.jp/ja/2020/12/quasar-family.html\r\n[4] Symantec Enterprise Blogs: LockFile: Ransomware Uses PetitPotam Exploit to Compromise Windows Domain\r\nControllers\r\n  https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lockfile-ransomware-new-petitpotam-windows\r\n朝長 秀誠 (Shusei Tomonaga)\r\n外資系ITベンダーでのセキュリティ監視・分析業務を経て、2012年12月から現職。現在は、マルウェア分析・\r\nフォレンジック調査に従事。主に、標的型攻撃に関するインシデント分析を行っている。CODE BLUE、\r\nBsidesLV、BlackHat USA Arsenal、Botconf、PacSec、FIRSTなどで講演。JSACオーガナイザー。\r\n関連記事\r\nJSAC2026 開催レポート~DAY 2~\r\nhttps://blogs.jpcert.or.jp/ja/2022/05/HUILoader.html\r\nPage 5 of 7\n\n攻撃グループAPT-C-60による攻撃のアップデート\r\nCobalt Strike Beaconの機能をクロスプラットフォームへと拡張するツール「CrossC2」を使った攻撃\r\nIvanti Connect Secureの脆弱性を起点とした侵害で確認されたマルウェア\r\nhttps://blogs.jpcert.or.jp/ja/2022/05/HUILoader.html\r\nPage 6 of 7\n\nIvanti Connect Secureに設置されたマルウェアDslogdRAT\r\nSource: https://blogs.jpcert.or.jp/ja/2022/05/HUILoader.html\r\nhttps://blogs.jpcert.or.jp/ja/2022/05/HUILoader.html\r\nPage 7 of 7", "extraction_quality": 1, "language": "JA", "sources": [ "Malpedia" ], "references": [ "https://blogs.jpcert.or.jp/ja/2022/05/HUILoader.html" ], "report_names": [ "HUILoader.html" ], "threat_actors": [ { "id": "ec14074c-8517-40e1-b4d7-3897f1254487", "created_at": "2023-01-06T13:46:38.300905Z", "updated_at": "2026-04-10T02:00:02.918468Z", "deleted_at": null, "main_name": "APT10", "aliases": [ "Red Apollo", "HOGFISH", "BRONZE RIVERSIDE", "G0045", "TA429", "Purple Typhoon", "STONE PANDA", "Menupass Team", "happyyongzi", "CVNX", "Cloud Hopper", "ATK41", "Granite Taurus", "POTASSIUM" ], "source_name": "MISPGALAXY:APT10", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "c92de6de-9538-43e5-9190-9da092194884", "created_at": "2022-10-25T16:07:23.411024Z", "updated_at": "2026-04-10T02:00:04.587683Z", "deleted_at": null, "main_name": "Blue Termite", "aliases": [ "Blue Termite", "Cloudy Omega" ], "source_name": "ETDA:Blue Termite", "tools": [ "Emdivi", "Newsripper" ], "source_id": "ETDA", "reports": null }, { "id": "15b8d5d8-32cf-408b-91b1-5d6ac1de9805", "created_at": "2023-07-20T02:00:08.724751Z", "updated_at": "2026-04-10T02:00:03.341845Z", "deleted_at": null, "main_name": "APT-C-60", "aliases": [ "APT-Q-12" ], "source_name": "MISPGALAXY:APT-C-60", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "48782737-377b-47b4-aff0-87424208a643", "created_at": "2023-01-06T13:46:38.569144Z", "updated_at": "2026-04-10T02:00:03.02685Z", "deleted_at": null, "main_name": "Blue Termite", "aliases": [ "Cloudy Omega", "Emdivi" ], "source_name": "MISPGALAXY:Blue Termite", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "ba9fa308-a29a-4928-9c06-73aafec7624c", "created_at": "2024-05-01T02:03:07.981061Z", "updated_at": "2026-04-10T02:00:03.750803Z", "deleted_at": null, "main_name": "BRONZE RIVERSIDE", "aliases": [ "APT10 ", "CTG-5938 ", "CVNX ", "Hogfish ", "MenuPass ", "MirrorFace ", "POTASSIUM ", "Purple Typhoon ", "Red Apollo ", "Stone Panda " ], "source_name": "Secureworks:BRONZE RIVERSIDE", "tools": [ "ANEL", "AsyncRAT", "ChChes", "Cobalt Strike", "HiddenFace", "LODEINFO", "PlugX", "PoisonIvy", "QuasarRAT", "QuasarRAT Loader", "RedLeaves" ], "source_id": "Secureworks", "reports": null }, { "id": "ab47428c-7a8e-4ee8-9c8e-4e55c94d2854", "created_at": "2024-12-28T02:01:54.668462Z", "updated_at": "2026-04-10T02:00:04.564201Z", "deleted_at": null, "main_name": "APT-C-60", "aliases": [ "APT-Q-12" ], "source_name": "ETDA:APT-C-60", "tools": [ "SpyGlace" ], "source_id": "ETDA", "reports": null }, { "id": "f63c346d-18c8-4821-a56d-fefb1ad7ed5d", "created_at": "2022-10-25T16:07:23.42507Z", "updated_at": "2026-04-10T02:00:04.593122Z", "deleted_at": null, "main_name": "Bronze Starlight", "aliases": [ "Cinnamon Tempest", "DEV-0401", "HighGround", "Operation ChattyGoblin", "SLIME34" ], "source_name": "ETDA:Bronze Starlight", "tools": [ "Agent.dhwf", "Agentemis", "AtomSilo", "Cobalt Strike", "CobaltStrike", "Destroy RAT", "DestroyRAT", "HUI Loader", "Kaba", "Korplug", "LockFile", "Night Sky", "NightSky", "Pandora", "PlugX", "RedDelta", "Sogu", "TIGERPLUG", "TVT", "Thoper", "Xamtrav", "cobeacon" ], "source_id": "ETDA", "reports": null }, { "id": "c69bcda3-0893-4ea1-9ec1-ae016332d283", "created_at": "2023-01-06T13:46:39.410593Z", "updated_at": "2026-04-10T02:00:03.317754Z", "deleted_at": null, "main_name": "BRONZE STARLIGHT", "aliases": [ "DEV-0401", "Cinnamon Tempest", "Emperor Dragonfly", "SLIME34" ], "source_name": "MISPGALAXY:BRONZE STARLIGHT", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "ba3fff0c-3ba0-4855-9eeb-1af9ee18136a", "created_at": "2022-10-25T15:50:23.298889Z", "updated_at": "2026-04-10T02:00:05.316886Z", "deleted_at": null, "main_name": "menuPass", "aliases": [ "menuPass", "POTASSIUM", "Stone Panda", "APT10", "Red Apollo", "CVNX", "HOGFISH", "BRONZE RIVERSIDE" ], "source_name": "MITRE:menuPass", "tools": [ "certutil", "FYAnti", "UPPERCUT", "SNUGRIDE", "P8RAT", "RedLeaves", "SodaMaster", "pwdump", "Mimikatz", "PlugX", "PowerSploit", "ChChes", "cmd", "QuasarRAT", "AdFind", "Cobalt Strike", "PoisonIvy", "EvilGrab", "esentutl", "Impacket", "Ecipekac", "PsExec", "HUI Loader" ], "source_id": "MITRE", "reports": null }, { "id": "d511e74b-96b8-4ab9-88d6-bc183351dbd8", "created_at": "2025-08-07T02:03:24.674685Z", "updated_at": "2026-04-10T02:00:03.800936Z", "deleted_at": null, "main_name": "BRONZE STARLIGHT", "aliases": [ "Cinnamon Tempest ", "DEV-0401 ", "Emperor Dragonfly " ], "source_name": "Secureworks:BRONZE STARLIGHT", "tools": [ "AtomSilo", "Cobalt Strike", "HUI Loader", "Impacket", "LockFile", "NightSky", "Pandora", "PlugX", "Rook" ], "source_id": "Secureworks", "reports": null }, { "id": "81e29474-63ad-4ce8-97db-b1712d5481d5", "created_at": "2024-04-24T02:00:49.570158Z", "updated_at": "2026-04-10T02:00:05.285111Z", "deleted_at": null, "main_name": "Cinnamon Tempest", "aliases": [ "Cinnamon Tempest", "DEV-0401", "Emperor Dragonfly", "BRONZE STARLIGHT" ], "source_name": "MITRE:Cinnamon Tempest", "tools": [ "Pandora", "PlugX", "Cheerscrypt", "Impacket", "Cobalt Strike", "HUI Loader", "Rclone" ], "source_id": "MITRE", "reports": null } ], "ts_created_at": 1775434197, "ts_updated_at": 1775792271, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/1820c13e296fe1851fc14dae94a71288015f6690.pdf", "text": "https://archive.orkl.eu/1820c13e296fe1851fc14dae94a71288015f6690.txt", "img": "https://archive.orkl.eu/1820c13e296fe1851fc14dae94a71288015f6690.jpg" } }