{ "id": "7d07600a-7423-4efa-9dbd-a2b4dccbaa98", "created_at": "2026-04-06T00:21:18.186209Z", "updated_at": "2026-04-10T03:36:13.908288Z", "deleted_at": null, "sha1_hash": "247aff817a8ed05b45101fae4f5de72ce01e7cee", "title": "Panda's New Arsenal: Part 1 Tmanger", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 289893, "plain_text": "Panda's New Arsenal: Part 1 Tmanger\r\nBy NTTセキュリティ・ジャパン株式会社\r\nPublished: 2020-10-15 · Archived: 2026-04-05 13:44:14 UTC\r\nBy Hiroki Hada\r\nPublished October 15, 2020 | Japanese\r\nはじめに\r\n2020年2月、私達はAPT攻撃グループ”TA428”による攻撃キャンペーン”Operation LagTime IT”についてリ\r\nサーチを行っていました。攻撃者は私達の監視しているシステムに侵入し、様々な侵害活動を行いまし\r\nた。彼らはPoison IvyやCotx RATを使ってコンピュータのコントロールを得た後、更に侵害を深めるため\r\nに横展開を行いました。攻撃者はEternal Blueを悪用して同一ネットワーク上のいくつかのホストに移動\r\nすることに成功すると、そのうちの1つのホスト上で興味深いマルウェアを動かし始めました。PDBに\r\nTmanger と書かれたRATは今までに見たことがない未知のマルウェアでした。\r\nこのときの侵害について、極めて詳細な調査結果をVB2020 localhostにて発表しました[1]が、ここでは全\r\n3回に分けてTmangerとそれに関連すると思われるマルウェアについて紹介します。第1回目である今回は\r\nTmangerを扱います。\r\nTmanger\r\nTmangerはTA428によって利用されているRATです。図 1に示すように、PDBにTmangerと書かれていたこ\r\nとから、私たちはそう呼んでいます。Tmangerはおそらく Tmanager の打ち間違いです。次回以降の記事\r\nで紹介しますが、Tmangerに関連すると思われるものに Smanager というマルウェアが存在することが理\r\n由の1つです。このマルウェアの作者は意図しているのかは分かりませんが、このような打ち間違いが他\r\nにもいくつか見られます。例えば Entery や Waston という文字列もその1つです。\r\n図1 TmangerのPDB情報\r\nhttps://insight-jp.nttsecurity.com/post/102gi9b/pandas-new-arsenal-part-1-tmanger\r\nPage 1 of 10\n\nTmangerは非常に活発に開発が続いており、関連すると思われる検体も存在します。Tmangerは私達が観\r\n測した攻撃以外にも、TA428の本来の標的であるモンゴルや、一帯一路政策に関わるベトナムに対して\r\nも利用されている可能性があります。\r\nTA428はTickやTontoなどの他のAPTグループとRoyal Road RTF Weaponizerを共有していることが報告され\r\nています[2][3]が、Tmangerも他のAPTグループと共有されている可能性があります。しかし、その明確\r\nな証拠は発見していません。\r\nAnalysis Result\r\n私達はTmangerをバージョン1.0 ~ 4.5まで観測しています。基本的にTmangerは SetUp、MloadDll、Client\r\nの3つのパートから成ります。それぞれのパートでいくつかの挙動バリエーションがありますが、基本的\r\nな役割は以下のとおりです。\r\n名称 概要\r\nSetUp MloadDllを展開し、実行する\r\nMloadDll Clientを展開し、実行する\r\nClient RAT本体\r\n名称はそれぞれのEXEやDLLの内部名やPDBから付けており、攻撃者も私達の分類と同じように扱って\r\nいると考えられます。それでは、それぞれについて詳しく見ていきましょう。\r\nSetUp\r\nMloadDllやClientにも存在する挙動ですが、はじめにCreateEventで特定のイベント名を作成し、その成功\r\nの可否で挙動を変えます。成功した場合は実行を継続しますが、失敗した場合はその時点で終了しま\r\nす。これは多重起動を防ぐ目的であると考えられます。このとき、イベント名は様々ですが、私達が観\r\n測した全てのTmangerは以下の正規表現を満たします。\r\n/[0-9a-f]{8}-[0-9a-f]{4}-4551-8f84-08e738aec[0-9a-f]{3}/\r\n次に、IsUserAdminでユーザの権限を確認します。これ以降、Adminの場合とそうではない場合で処理が\r\n分岐します。Adminの場合とそうではない場合で、永続化の方法が異なっています。\r\nAdminの場合\r\nまず、XOR 0x88で以下のようなデータをデコードします。これらは後でサービス登録を行う際に使用さ\r\nれます。\r\nhttps://insight-jp.nttsecurity.com/post/102gi9b/pandas-new-arsenal-part-1-tmanger\r\nPage 2 of 10\n\nDFS Replication\r\nFTP Publishing Service\r\nReadyBoost\r\nSoftware Licensing\r\nSL UI Notification Service\r\nTerminal Services Configuration\r\nWindows Media Center Extender Service\r\nWindows Media Center Service Launcher\r\nSOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Svchost\r\nnetsvcs\r\n%SystemRoot%\\System32\\svchost.exe -k netsvcs\r\nMACHINE\\SYSTEM\\CurrentControlSet\\Services\\\r\nその後、同様にXOR 0x88でデータをデコードし、得られたAPIを解決します。\r\nRegOpenKeyEx\r\nRegQueryValueEx\r\nOpenSCManager\r\nRegOpenKeyExA\r\nRegQueryValueExA\r\nRegSetValueExA\r\nGetSystemDirectoryA\r\nRegCloseKey\r\n次に、deflateされているデータをinflateし、ランダムな4文字から成るファイル名でSystem32にDLLとし\r\nて保存します。このDLLはMloadDllです。\r\n再びXOR 0x88でAPI名をデコードし、解決します。これによって解決されたAPIはCreateServiceAです。\r\nさらに、同じ方法で以下のデータを得ます。\r\nSYSTEM\\CurrentControlSet\\Services\\\r\nDescription\r\nDisplayName\r\nServiceDll\r\n\\Parameters\r\nこれまでにデコードした文字列を使って、先程System32に作成したDLLをサービスとして登録します。\r\n最後に、そのサービスを起動します。\r\nAdminではない場合\r\nはじめにTempディレクトリにRahoto.exeというファイルがあるか確認します。存在しない場合、自分自\r\n身をRahoto.exeという名前でTempディレクトリにコピーし、レジストリのCurrentVersion\\Runを使って自\r\n動起動の設定を行います。\r\nその後、MloadDllとして動作します。\r\nhttps://insight-jp.nttsecurity.com/post/102gi9b/pandas-new-arsenal-part-1-tmanger\r\nPage 3 of 10\n\nMloadDll\r\nMloadDllはEnteryとServiceMainがエクスポート関数として実装されています。ServiceMainから実行され\r\nた場合でも、最終的にEnteryが実行されるため、基本的な挙動は同一です。\r\nはじめに図 2のようにRC4の鍵データを生成します。この処理はTmangerで共通するものです。\r\n図2 暗号鍵を生成する処理\r\n鍵データを生成すると、それを使ってconfigデータを復号します。図 3のように、configデータにはC\u0026C\r\nサーバーのアドレスとポート番号が含まれています。\r\n図3 configデータ\r\nその後、deflateされているデータをinflateします。それによって得られるデータがClientです。最後に、\r\nClientのエクスポート関数であるcallfuncを呼び出します。\r\nClient\r\nCreateEventなどの処理を行った後、以下のような端末情報を収集します。\r\nOSやアーキテクチャ情報\r\nドライブ情報\r\nホスト情報\r\nユーザ情報\r\nその後、スレッドが作成され、一連のループを繰り返します。はじめに、ソケットを作成し、成功する\r\nとCreateMutexで以下のMutexを作成します。\r\nhttps://insight-jp.nttsecurity.com/post/102gi9b/pandas-new-arsenal-part-1-tmanger\r\nPage 4 of 10\n\nsock_hmutex\r\ncmd_hmutex\r\n次に、C\u0026Cサーバーとの接続が確立するかチェックを行います。接続できた場合、C\u0026Cサーバーからの\r\nコマンド操作を待ちます。コマンドのリストは以下のとおりです。\r\nコマンド 説明\r\n1, 17 特定のプロセスの起動\r\n2 ディレクトリ情報の取得\r\n3, 19, 35 クライアントからC\u0026Cサーバーへファイルの送信\r\n4 ファイル情報の取得\r\n18 ファイルの削除\r\n20, 52 メモリなどのクリーンアップ\r\n34 CreateProcessによるプロセスの起動\r\n36 ファイルの書き込み\r\n50 ファイルのコピー\r\n80, 81 キーログの取得\r\n96 画面キャプチャの取得\r\nそれ以外 Sleep\r\nhttps://insight-jp.nttsecurity.com/post/102gi9b/pandas-new-arsenal-part-1-tmanger\r\nPage 5 of 10\n\nトラフィックはRC4によって暗号化されていますが、それをデコードすると図 4のような構造になってい\r\nます。\r\n図4 トラフィックの構造\r\nデコード後のデータの先頭に存在するIDはプロセスIDから生成されます。生成処理は以下のとおりで\r\nす。\r\nこのIDによってプロセスとトラフィックを管理しています。\r\nツール\r\nTmangerがC\u0026Cサーバーと通信する際、データは暗号化されています。私達はそれをデコードし、トラ\r\nフィックをパースするツールを作成しました。関連するマルウェアの解析やインシデント調査にご活用\r\nください。\r\nhttps://www.nttsecurity.com/ja-jp/Resources\r\nさいごに\r\n今回はTA428がOperation LagTime ITの中で使用したTmangerというRATについて紹介しました。Tmanger\r\nは活発に開発が行われており、いくつかの関連マルウェアも存在します。今後もTmangerの動向を注視し\r\nていくべきでしょう。次回はTmangerに関連すると思われるマルウェアAlbaniiutasについて紹介します。\r\nIOC\r\nC\u0026Cサーバー\r\n172[.]105.39.67\r\n136[.]244.82.179\r\nファイル情報\r\nhttps://insight-jp.nttsecurity.com/post/102gi9b/pandas-new-arsenal-part-1-tmanger\r\nPage 6 of 10\n\nSHA256 Timestamp PDB\r\n977bd4b7e054b84b4b62e84875ff3277\r\ndd8c039cf3ee0ded435b41025d0d2b21\r\n(UTC)\r\n2020-03-\r\n16\r\n13:30:57\r\n88ffb081f6924261df32322f343ccb9078\r\nee45eaa369660892585037baf59078\r\n(UTC)\r\n2020-03-\r\n16\r\n13:38:19\r\nC:\\Users\\sxpolaris\\Desktop\\2020\\TM\r\nVS2015\\TM_NEW 4.5\\Release\\MloadDll.pdb\r\n8987b9587c1d4f6fbf2fa49eb11bb20b8\r\nb30b82d5bc988f5c882501b1f76b82a\r\n(UTC)\r\n2020-03-\r\n20\r\n05:04:56\r\nC:\\Users\\sxpolaris\\Desktop\\2020\\TM\r\nVS2015\\TM_NEW 4.5\\Release\\SetUp.pdb\r\n85a53a2525643a84509b10d439734509\r\n203a2a74e1a167d5c3494e37a47c8c8c\r\n(UTC)\r\n2025-06-\r\n23\r\n04:54:29\r\n86297be195acaa36ec042523a5484d9e\r\n14fd9fb4cbd977f709e75207358a3f86\r\n(UTC)\r\n2025-08-\r\n19\r\n12:08:44\r\nC:\\Users\\Waston\\Desktop\\20190403_Tmanger\\20191118\r\nTM_NEW 1.0\\Release\\MloadDll.pdb\r\n5d3db73458eeeb6439ab921159ba447\r\nb01c7a12f7291eb4b5cf510e29a8137c6\r\n(UTC)\r\n2025-09-\r\n06\r\n23:19:33\r\nhttps://insight-jp.nttsecurity.com/post/102gi9b/pandas-new-arsenal-part-1-tmanger\r\nPage 7 of 10\n\nebe05801d32985dc954e754aed63b5ce\r\ne6e889f26533b1635c1f47e42bcb483a\r\n(UTC)\r\n2025-09-\r\n07\r\n14:15:16\r\nC:\\Users\\Waston\\Desktop\\20190403_Tmanger\\20191118\r\nTM_NEW 4.0\\Release\\MloadDll.pdb\r\nc60490f6fbda0a2cf1a8cd401b2f3ce926\r\n2e600268264229122a4d80e327ed4b\r\n(UTC)\r\n2025-09-\r\n25\r\n17:28:16\r\n6fdd004d0835577749e8742c91e9f1720\r\n953faa8ecd55d3b203eddd4d6db5568\r\n(UTC)\r\n2025-09-\r\n25\r\n17:29:26\r\n6fdd004d0835577749e8742c91e9f172\r\n0953faa8ecd55d3b203eddd4d6db5568\r\n(UTC)\r\n2025-09-\r\n25\r\n17:29:26\r\n71fe3edbee0c27121386f9c01b723e1cf\r\nb416b7af093296bd967bbabdc706393\r\n(UTC)\r\n2025-09-\r\n25\r\n17:36:46\r\nC:\\Users\\Waston\\Desktop\\20190403_Tmanger\\20191118\r\nTM_NEW 4.4\\Release\\MloadDll.pdb\r\n8109a33c573e00e7849ba2d63714703\r\ne2e7bd65dee1c2c6454951f7fc4b2f275\r\n(UTC)\r\n2025-09-\r\n25\r\n17:36:46\r\nC:\\Users\\Waston\\Desktop\\20190403_Tmanger\\20191118\r\nTM_NEW 4.4\\Release\\MloadDll.pdb\r\n7807c0177cf37bce6e38ef534f804935f\r\n505a24d735baa53a18e2da766ec136b\r\n(UTC)\r\n2025-09-\r\n29\r\n13:02:13\r\nhttps://insight-jp.nttsecurity.com/post/102gi9b/pandas-new-arsenal-part-1-tmanger\r\nPage 8 of 10\n\n4fcb79a73f5286ed8f2bc671b64c76dac\r\n4971a0cce10936f63d210e8e17c5fd5\r\n(UTC)\r\n2025-10-\r\n01\r\n15:47:24\r\ne494c8916e93295338a7368f86c42fce0\r\n916b559e63d462bd1b3265b6009bf9b\r\n(UTC)\r\n2025-10-\r\n01\r\n15:47:26\r\nd4b339f502119d4cf10d48c8c7297bba\r\nebb22387eb7cc4447540b666d27ba166\r\n(UTC)\r\n2025-10-\r\n01\r\n15:47:26\r\n078498d02775b64c5660ccbfdf12f31f3\r\nb810ed612e10c3dd50660cfa03ad470\r\n(UTC)\r\n2025-10-\r\n01\r\n20:09:43\r\nC:\\Users\\Waston\\Desktop\\20190403_Tmanger\\20191118\r\nTM_NEW 4.4\\Release\\SetUp.pdb\r\nafd457592715bdef21d02c4e4d0e80dd\r\n70cf801a9d4d9afed795494012994372\r\n(UTC)\r\n2025-10-\r\n05\r\n00:17:56\r\nC:\\Users\\Waston\\Desktop\\20190403_Tmanger\\20191118\r\nTM_NEW 4.4\\x64\\Release\\MloadDll.pdb\r\n772e69b3d66ef5b4fdda49d3ca39a545\r\n9b8c3afce77c24ebda698aef5bdbc5c3\r\n(UTC)\r\n2025-10-\r\n05\r\n15:34:41\r\nC:\\Users\\Waston\\Desktop\\20190403_Tmanger\\20191118\r\nTM_NEW 4.4\\Release\\MloadDll_REG.pdb\r\n8e9fc7bd0673a88a04583dda7d42f278\r\n013aa7abc4e26de86e953cc4a6825708\r\n(UTC)\r\n2025-10-\r\n06\r\n08:33:38\r\nC:\\Users\\Waston\\Desktop\\20190403_Tmanger\\20191118\r\nTM_NEW 4.5\\Release\\MloadDll_REG_DLL.pdb\r\nhttps://insight-jp.nttsecurity.com/post/102gi9b/pandas-new-arsenal-part-1-tmanger\r\nPage 9 of 10\n\n2999e5209cf1d7fb484832278e11e4c4\r\n950ef40e8f52a44329ed4230135f9b64\r\n(UTC)\r\n2025-10-\r\n06\r\n19:16:45\r\nC:\\Users\\Waston\\Desktop\\20190403_Tmanger\\20191118\r\nTM_NEW 4.5\\Release\\ttt.pdb\r\n参考文献\r\n[1] VB2020 localhost, Operation LagTime IT: colorful Panda footprint\r\n[2] Proofpoint, Chinese APT “Operation LagTime IT” Targets Government Information Technology Agencies in\r\nEastern Asia\r\n[3] nao_sec, An Overhead View of the Royal Road\r\nSource: https://insight-jp.nttsecurity.com/post/102gi9b/pandas-new-arsenal-part-1-tmanger\r\nhttps://insight-jp.nttsecurity.com/post/102gi9b/pandas-new-arsenal-part-1-tmanger\r\nPage 10 of 10\n\n 15:47:26 (UTC) \n078498d02775b64c5660ccbfdf12f31f3 2025-10- C:\\Users\\Waston\\Desktop\\20190403_Tmanger\\20191118\nb810ed612e10c3dd50660cfa03ad470 01 TM_NEW 4.4\\Release\\SetUp.pdb\n 20:09:43 \n (UTC) \nafd457592715bdef21d02c4e4d0e80dd 2025-10- C:\\Users\\Waston\\Desktop\\20190403_Tmanger\\20191118\n70cf801a9d4d9afed795494012994372 05 TM_NEW 4.4\\x64\\Release\\MloadDll.pdb\n 00:17:56 \n (UTC) \n772e69b3d66ef5b4fdda49d3ca39a545 2025-10- C:\\Users\\Waston\\Desktop\\20190403_Tmanger\\20191118\n9b8c3afce77c24ebda698aef5bdbc5c3 05 TM_NEW 4.4\\Release\\MloadDll_REG.pdb\n 15:34:41 \n (UTC) \n8e9fc7bd0673a88a04583dda7d42f278 2025-10- C:\\Users\\Waston\\Desktop\\20190403_Tmanger\\20191118\n013aa7abc4e26de86e953cc4a6825708 06 TM_NEW 4.5\\Release\\MloadDll_REG_DLL.pdb\n 08:33:38 \n Page 9 of 10", "extraction_quality": 1, "language": "JA", "sources": [ "ETDA", "Malpedia" ], "references": [ "https://insight-jp.nttsecurity.com/post/102gi9b/pandas-new-arsenal-part-1-tmanger" ], "report_names": [ "pandas-new-arsenal-part-1-tmanger" ], "threat_actors": [ { "id": "f8dddd06-da24-4184-9e24-4c22bdd1cbbf", "created_at": "2023-01-06T13:46:38.626906Z", "updated_at": "2026-04-10T02:00:03.043681Z", "deleted_at": null, "main_name": "Tick", "aliases": [ "G0060", "Stalker Taurus", "PLA Unit 61419", "Swirl Typhoon", "Nian", "BRONZE BUTLER", "REDBALDKNIGHT", "STALKER PANDA" ], "source_name": "MISPGALAXY:Tick", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "2f07a03f-eb1f-47c8-a8e9-a1a00f2ec253", "created_at": "2022-10-25T16:07:24.277669Z", "updated_at": "2026-04-10T02:00:04.919609Z", "deleted_at": null, "main_name": "TA428", "aliases": [ "Operation LagTime IT", "Operation StealthyTrident", "ThunderCats" ], "source_name": "ETDA:TA428", "tools": [ "8.t Dropper", "8.t RTF exploit builder", "8t_dropper", "Agent.dhwf", "Albaniiutas", "BlueTraveller", "Chymine", "Cotx RAT", "CoughingDown", "Darkmoon", "Destroy RAT", "DestroyRAT", "Gen:Trojan.Heur.PT", "Kaba", "Korplug", "LuckyBack", "PhantomNet", "PlugX", "Poison Ivy", "RedDelta", "RoyalRoad", "SManager", "SPIVY", "Sogu", "TIGERPLUG", "TManger", "TVT", "Thoper", "Xamtrav", "pivy", "poisonivy" ], "source_id": "ETDA", "reports": null }, { "id": "54e55585-1025-49d2-9de8-90fc7a631f45", "created_at": "2025-08-07T02:03:24.563488Z", "updated_at": "2026-04-10T02:00:03.715427Z", "deleted_at": null, "main_name": "BRONZE BUTLER", "aliases": [ "CTG-2006 ", "Daserf", "Stalker Panda ", "Swirl Typhoon ", "Tick " ], "source_name": "Secureworks:BRONZE BUTLER", "tools": [ "ABK", "BBK", "Casper", "DGet", "Daserf", "Datper", "Ghostdown", "Gofarer", "MSGet", "Mimikatz", "Netboy", "RarStar", "Screen Capture Tool", "ShadowPad", "ShadowPy", "T-SMB", "down_new", "gsecdump" ], "source_id": "Secureworks", "reports": null }, { "id": "20b5fa2f-2ef1-4e69-8275-25927a762f72", "created_at": "2025-08-07T02:03:24.573647Z", "updated_at": "2026-04-10T02:00:03.765721Z", "deleted_at": null, "main_name": "BRONZE DUDLEY", "aliases": [ "TA428 ", "Temp.Hex ", "Vicious Panda " ], "source_name": "Secureworks:BRONZE DUDLEY", "tools": [ "NCCTrojan", "PhantomNet", "PoisonIvy", "Royal Road" ], "source_id": "Secureworks", "reports": null }, { "id": "a4aca3ca-9e04-42d1-b037-f7fb3fbab0b1", "created_at": "2023-01-06T13:46:39.042499Z", "updated_at": "2026-04-10T02:00:03.194713Z", "deleted_at": null, "main_name": "TA428", "aliases": [ "BRONZE DUDLEY", "Colourful Panda" ], "source_name": "MISPGALAXY:TA428", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "d4e7cd9a-2290-4f89-a645-85b9a46d004b", "created_at": "2022-10-25T16:07:23.419513Z", "updated_at": "2026-04-10T02:00:04.591062Z", "deleted_at": null, "main_name": "Bronze Butler", "aliases": [ "Bronze Butler", "CTG-2006", "G0060", "Operation ENDTRADE", "RedBaldNight", "Stalker Panda", "Stalker Taurus", "Swirl Typhoon", "TEMP.Tick", "Tick" ], "source_name": "ETDA:Bronze Butler", "tools": [ "8.t Dropper", "8.t RTF exploit builder", "8t_dropper", "9002 RAT", "AngryRebel", "Blogspot", "Daserf", "Datper", "Elirks", "Farfli", "Gh0st RAT", "Ghost RAT", "HOMEUNIX", "HidraQ", "HomamDownloader", "Homux", "Hydraq", "Lilith", "Lilith RAT", "McRAT", "MdmBot", "Mimikatz", "Minzen", "Moudour", "Muirim", "Mydoor", "Nioupale", "PCRat", "POISONPLUG.SHADOW", "Roarur", "RoyalRoad", "ShadowPad Winnti", "ShadowWali", "ShadowWalker", "SymonLoader", "WCE", "Wali", "Windows Credential Editor", "Windows Credentials Editor", "XShellGhost", "XXMM", "gsecdump", "rarstar" ], "source_id": "ETDA", "reports": null } ], "ts_created_at": 1775434878, "ts_updated_at": 1775792173, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/247aff817a8ed05b45101fae4f5de72ce01e7cee.pdf", "text": "https://archive.orkl.eu/247aff817a8ed05b45101fae4f5de72ce01e7cee.txt", "img": "https://archive.orkl.eu/247aff817a8ed05b45101fae4f5de72ce01e7cee.jpg" } }