継続するEAGERBEE（Thumtais）マルウェアの活動 | LAC
WATCH
By 石川 芳浩
Published: 2025-05-14 · Archived: 2026-04-02 12:01:45 UTC
2024年6月にLAC WATCHで、中国圏を拠点とする攻撃者グループによる、日本の組織を対象にした
EAGERBEE（別名：Thumtais）マルウェアを用いた標的型攻撃について報告しました。このマルウェ
アがWindivertパッケージを悪用する点が、大きな特徴の1つとして挙げられています。
ラックのサイバー救急センターは、EAGERBEEの調査を継続する中で、以下のような亜種が存在する
ことを確認しました。
感染端末上でポートを開放し、C2サーバからの通信を待ち受けるListenモードで動作する検体
文字列や通信先、通信データを暗号化する機能を実装した検体
今回は、これらEAGERBEE亜種の機能について詳しくご紹介します。
目次
1. EAGERBEE
2. EAGERBEEを利用した攻撃キャンペーン
3. EAGERBEEを利用する攻撃者グループ
4. 攻撃痕跡の確認と検出
5. さいごに
6. Appendix
EAGERBEE
EAGERBEEは、Microsoft Visual C/C++で開発されたダウンローダ型マルウェアであり、C2サーバから
ダウンロードしたファイルをメモリ上で実行する機能を備えています。Kaspersky社によれば、ダウン
ロードされるマルウェアはプラグイン管理機能（plugin orchestrator）を持つと報告されています。※1
EAGERBEEは、通信機能としてReverseモードとListenモードの2種類をサポートしており、検体ごとに
その実装方法に違いがあります。例えば図1の例では、両方の機能をサポートしていますが、設定値が
0であるため、Reverseモードで動作します。
※1 The EAGERBEE backdoor may be related to the CoughingDown actor | Securelist
https://www.lac.co.jp/lacwatch/report/20250514_004379.html
Page 1 of 13

図1 EAGERBEEの通信機能
Reverseモードでは、マルウェアが実行されるとコールバック通信を発生させ、感染端末からC2サーバ
へ接続します。一方、Listenモードでは、感染端末のポートを開放し、C2サーバからの通信を待ち受け
ます（図2）。多くのEAGERBEE検体はReverseモードで構成されていますが、Listenモードで動作する
検体も確認されています。
図2 EAGERBEEのReverseモードとListenモード例
EAGERBEEを利用した攻撃キャンペーン
図3は、2022年頃から確認されているEAGERBEEを用いた攻撃キャンペーンの概要を示しています。赤
色で表示された「Op Japan Campaign」は、前回のLAC WATCHで紹介されたものです。2022年後半から
2023年後半にかけて、広範囲にわたるアジア地域への攻撃が確認されています。※2 ※3
※2 Introducing the REF5961 intrusion set -- Elastic Security Labs
※3 Operation Crimson Palace: Sophos threat hunting unveils multiple clusters of Chinese state-sponsored activity
targeting Southeast Asian government - Sophos News
https://www.lac.co.jp/lacwatch/report/20250514_004379.html
Page 2 of 13

図3 EAGERBEEを利用した攻撃キャンペーン
2024年以降、EAGERBEEはアジア地域だけでなく、中東地域でも攻撃が観測されるようになりまし
た。また、VirusTotalにアップロードされたEAGERBEEのサンプルから、ロシア地域が標的となってい
ることも確認されています。攻撃の範囲は年々拡大しており、マルウェアの機能にもいくつかの変更
が見られます。
以下では、新たに確認されたEAGERBEE亜種の特徴をいくつか紹介します。
Listenモードの利用
一部のListenモードで動作するように構成されたEAGERBEEには、図4に示されているPDBファイルパ
スが含まれていました。EXE形式とDLL形式のファイルをそれぞれ確認しており、EXEファイルには
「revexe.pdb」が、DLLファイルには「revdll.pdb」が含まれています。
図4 EAGERBEEに含まれるPDBファイル情報
このEXE形式のEAGERBEEを実行すると、図5に示すようなGUIアプリケーション（ウィンドウタイト
ル：revexe）が起動し、特定のポートを開放して接続を待ち受けます。この検体では、TCP/8443でポー
トが開放されています。図6は、該当するコードの一部を示します。
図5 EAGERBEEによるTCP/8443ポート開放
https://www.lac.co.jp/lacwatch/report/20250514_004379.html
Page 3 of 13

図6 EAGERBEEのListenモードの動作構成
暗号処理の実装
図7は、EAGERBEEに実装された暗号処理機能を示しています。この機能は、検体内に含まれる特徴的
な文字列やハードコードされた通信先、通信データを復号するために使用されます。Appendix「復号
スクリプト」に、これらを復号するためのPythonスクリプトの例を示しています。なお、この機能を持
つEAGERBEEの亜種は、主にロシア地域への攻撃で利用されていることが確認されています。
図7 EAGERBEEに実装された暗号処理
https://www.lac.co.jp/lacwatch/report/20250514_004379.html
Page 4 of 13

さらに、この亜種ではReverseモードだけでなく、Listenモードで動作する検体も確認されています。図
8に示されているコードの一部では、前述の暗号処理を利用してポート番号を復号し、感染端末上で
TCP/110を開放します。
図8 暗号処理機能が含まれるEAGERBEEのListenモードの動作構成
また、この亜種には、コードがVMProtectで難読化されているものや、図9に示されるように
DZPROLVX.TMPを読み込み、その内容を通信先として設定するよう変更されている例も見受けられま
した。従来の多くの検体では、iconcache.muiが読み込まれ、その内容が通信先として設定されていまし
た。
https://www.lac.co.jp/lacwatch/report/20250514_004379.html
Page 5 of 13

図9 DZPROLVX.TMPファイルの読み込み
EAGERBEEを利用する攻撃者グループ
2024年6月のLAC WATCHでは、EAGERBEEがTA428またはLuckyMouseと呼ばれる攻撃者グループによ
って利用されている可能性について言及しました。その後の調査により、中国圏を拠点とする複数の
攻撃者グループによる利用が散見され、このマルウェアが広く共有されている可能性が浮上していま
す。
図10は、EAGERBEEの通信先情報をもとに関連要素をマッピングし、攻撃者グループとマルウェアの
関連性を確認した結果を示しています。Tonto TeamおよびREF5961によるEAGERBEEの利用は確認され
る一方で、他の攻撃者グループとの関係も見受けられます。攻撃者グループ間でインフラやツールの
共有が進んでいるため、背後にいる攻撃者の特定はますます困難になっていると考えます。
https://www.lac.co.jp/lacwatch/report/20250514_004379.html
Page 6 of 13

図10 EAGERBEEと攻撃者グループの関連性
Tonto Teamによる犯行の可能性
EAGERBEEが「日本」や「ロシア」といった地域を対象とした攻撃に利用されている点は、Tonto
Teamの主な標的と一致しており、注目すべきポイントです。また、2023年2月に確認された日本への攻
撃キャンペーンや2024年にロシア地域への攻撃において、TickやTonto Teamが使用するOAED Loader※4
が利用されていました。このことは、Tonto Teamの関与を裏付ける要素の1つであると考えられます。
※4 標的型攻撃の実態と対策アプローチ 日本を狙うサイバーエスピオナージの動向2020年度｜Macnica
Networks TeamT5
ここで、EAGERBEEの話題から少し逸れますが、最後に、このOAED Loaderとそのペイロードとして
含まれている新しいマルウェア「NKN-goRAT」について簡単にご紹介します。
攻撃の概要
OAED Loaderは、DLL形式のマルウェアであり、ペイロードを内包しています。含まれるペイロードは
さまざまで、今回のケースでは「NKN-goRAT」と呼ばれるRATが含まれていました。過去には、
ShadowPadやABK downloaderといったマルウェアが含まれていたこともあります。
OAED Loaderは、図11に示されているように、正規のアプリケーションを利用してDLLサイドローディ
ングによって実行されます。ローダ内に埋め込まれたペイロードは復号された後、svchost.exeなどの正
規プロセスにインジェクションされ、マルウェアとして活動を開始します。今回のケースでは、
NVIDIA製の正規アプリケーションが悪用されています。
https://www.lac.co.jp/lacwatch/report/20250514_004379.html
Page 7 of 13

図11 NKN-goRATの実行フロー
ペイロード（NKN-goRAT）
NKN-goRATは、Go言語で開発されたDLL形式のマルウェアで、ダウンロード、アップロード、コマン
ド実行などのRAT機能を備えています。コマンドは、未実装のものも含めて35種類存在しますが、検体
によっては33種類のみが確認される場合もあります。コマンドの詳細については、Appendix「NKN-goRAT C2コマンド」を参照ください。このマルウェアは、C2通信に特徴があり、ブロックチェーンを
活用したP2Pネットワーク接続プロトコルであるNKN（New Kind of Network）※5を利用する特徴があ
ります（図12）。
※5 NKN | Network Infrastructure for Decentralized Internet
図12 NKNデータネットワーク例
NKN機能の実装には、オープンソースで公開されているnkn-sdk-go※6が利用されています。また、コ
ンパイル環境には「nkn-go」という文字列が含まれていることから、このマルウェアの名前もそれに由
来して命名しています（図13）。
※6 GitHub - nknorg/nkn-sdk-go: Go implementation of NKN client and wallet
図13 NKN-goRATに含まれる文字列
NKNプロトコルを悪用するマルウェアは過去にも報告されており、Palo Alto Networks社が報告した
NGLite※7や、Kaspersky社が報告したNKAbuse※8が該当します。このマルウェアは、NGLiteとはいくつ
かの類似点がありますが、CrossC2フレームワークの利用の有無やC2コマンドの実装が異なるため、現
状では異なるものと位置付けています。
https://www.lac.co.jp/lacwatch/report/20250514_004379.html
Page 8 of 13

※7 KdcSponge, NGLite, Godzilla Webshell Used in Targeted Attack Campaign
※8 Unveiling NKAbuse: a new multiplatform threat abusing the NKN protocol | Securelist
図14は、NKN-goRATによるNKNクライアントの作成コードの一部を示しています。NKNクライアント
が作成されると、C2通信が開始されます。図15は、初期通信の例を示しており、POSTリクエストを利
用して、seed.nkn.org（30003/TCP）にJSONフォーマットでクライアント情報を送信します。その後
は、レスポンスデータに応じてマルウェアが動作します。
図14 NKNクライアントの設定
図15 NKN-goRATによる初期通信例
攻撃痕跡の確認と検出
今回紹介したマルウェアは、実行時に特定のファイルを作成または読み込むため、これらのファイル
の有無や、不審なプログラムによるTCP/UDPポートの開放状況、不審な自動起動エントリの存在を確
認することで攻撃痕跡を調査できます。また、NKN-goRATに関しては、NKNプロトコルを利用した通
信が行われているかどうかを調査することで、攻撃の痕跡を明らかにできます。
https://www.lac.co.jp/lacwatch/report/20250514_004379.html
Page 9 of 13

以下に、その痕跡を確認する方法の一例を紹介します。
特定のファイルの確認
EAGERBEEは、「%TEMP%¥DZPROLVX.TMP」や「C:¥Users¥Public¥iconcache.mui」を作成または読み
込むため、これらのファイルの存在を確認します。また、NKN-goRATは、「C:¥ProgramData¥Service」
配下に、クライアント識別子となる「.conf」や「client.dll.old」を作成するため、当該ファイルの有無
を確認します。
TCP/UDPポートの利用状況の確認
EAGERBEEは、Listenモードで動作するよう構成されている場合、指定されたポートを開放してC2サー
バからの通信を待ち受けます。TcpViewなどのツールを用いて、不審なプログラムにより意図しない
TCP/UDPポートが開放されていないか確認します。
自動起動エントリポイントの確認
EAGERBEEやNKN-goRATは、Windowsサービスとして実行されます。そのため、Autorunsなどのツー
ルを用いて自動起動アプリケーション、レジストリ、関連ファイルを監査し、不審なプログラムが登
録されていないかを確認します。
NKNプロトコルを利用する通信の確認
NKN-goRATは、30003/TCPを利用してseed.nkn[.]orgに通信を発生させるため、通信機器のログを監査
し、当該通信が記録されているかを確認します。
さいごに
今回は、継続的に攻撃に利用されているEAGERBEEの変更点について紹介しました。EAGERBEEを利
用する攻撃者グループは、東アジア、東南アジア、中東、およびロシア地域を中心に活動しており、
攻撃対象を徐々に拡大しています。そのため、引き続き、日本の組織を攻撃してくる可能性も十分に
考えられます。
このような状況を踏まえ、適切なアカウント管理やアクセス制御、EDR製品を活用したエンドポイン
ト監視、さらにはネットワーク機器を用いた通信制御および監視など、複数の層にわたるセキュリテ
ィ対策の強化を推奨します。私たちは今後もEAGERBEEの動向や背後にいる攻撃者グループについて
継続的に調査を行い、最新情報を広く提供していく予定です。引き続き、ぜひご活用いただければ幸
いです。
Appendix
IOC（Indicator Of Compromised）
https://www.lac.co.jp/lacwatch/report/20250514_004379.html
Page 10 of 13

Indicator Type Context
226810aa9797625bf4b7c958344b2a279a419d19e58076d15c81461f70bbd430 SHA-256 EAGERBEE
ad9a298f9f2468d85f60b58f06b3acaa2dfa610e4b5bdfba6810e0f11be6a233 SHA-256 EAGERBEE
d529acbe8c4d8f7fffd957440f135de860a0f256c67a9d39e2ca4258ac9fd1b7 SHA-256 EAGERBEE
61f44330233917f8d8f05e3c133ee85c813e64fadc3c875c4a04923766541825 SHA-256 EAGERBEE
1ff1a073bc7a13599cd111eb19a7d0359286c678c6da8a80797ef7a573a4b63b SHA-256 EAGERBEE
39f2a9cb17ac989d3f979060f118b2c08d13d958923346be4fb1af86f8574ad5 SHA-256 EAGERBEE
06b97730ef9d29a56d3cc7434ffb29afbdfce86f369f5a2bad47c0bc2852e9fb SHA-256 EAGERBEE
96f6c7d9ace2585c1fb3dea722946cd27782a76b7e40f7a29a734a7ac8388f95 SHA-256 EAGERBEE
96323e18a7b9db1554d185198e3b1772f2e56377c09984c8bb53697399bf97ee SHA-256 EAGERBEE
1beeadc39be7bd87125753b4df305171737565afa5f8d08fa21879367ab65f55 SHA-256 EAGERBEE
e88b697a2292df01fcf8b002e8a014f8b7ea76a6d2bf927232caaa02df2453b3 SHA-256 EAGERBEE
fd7afa62fdbb443120f8e842c91a69bf573b892c2fe9656bf9506f094bd1bde7 SHA-256 EAGERBEE
fedc1b4f1b789982e9e6e869adc9e9771869cb2a80ac1e0c30f8d4859fe405d2 SHA-256 EAGERBEE
c11d359ed350fd1f0e1c956fbe72cc154f3a54450ff3dbec6ce078005d7a3e9f SHA-256 EAGERBEE
f1c8aa3fcb7d27a2d7f5645de0713803c181408c082a67c6ac24f7c3b76d3117 SHA-256 EAGERBEE
33a7e9eff16020454cfec2e0fb324acd98c1f86e0904d0539f3b3592aef31158 SHA-256 EAGERBEE
a48b2454cd16ded43ec0cc043b7cd8646d6bd68b45bd47cbe22514d2f65a8251 SHA-256
OAED Loader
(NKN-goRAT)
apps[.]sampguide[.]com Domain C2
egek[.]nakuban[.]com Domain C2
dom[.]pkfso[.]com Domain C2
yandexcloud[.]dkclassic[.]com Domain C2
netos[.]piterconsult[.]com Domain C2
192[.]53[.]118[.]62 IP C2
復号スクリプト
https://www.lac.co.jp/lacwatch/report/20250514_004379.html
Page 11 of 13

input_data = [some input]
processed_data = []
for index, i in enumerate(input_data):
 dec_data = (i ^ 0xB2) + 100 * (index // 100) - index
 processed_data.append(dec_data)
NKN-goRAT C2コマンド
ID Description
0x1 未実装
0x2 未実装
0x3 未実装
0x4 システム情報の取得
0x5 未実装
0x6 ターミナルの入出力処理
0x7 ディスクドライブとファイルシステムの情報を取得
0x8 ファイル閲覧関連
0x9 未実装
0xA 未実装
0xB 未実装
0xC ファイル閲覧関連
0xD アップロード関連
0xE 未実装
0xF 未実装
0x10 コマンド実行
0x11 未実装
0x12 Windowsタスク一覧を取得
0x13 IPアドレスの取得
0x14 設定ファイル（.conf）の作成または更新
https://www.lac.co.jp/lacwatch/report/20250514_004379.html
Page 12 of 13

ID Description
0x15 指定したプロセス終了
0x16 指定したプロセス終了させ、コマンド実行
0x17 ダウンロード関連
0x18 未実装
0x19 未実装
0x1A アップロード関連
0x1B 未実装
0x1C 未実装
0x1D 未実装
0x1E 環境変数の取得
0x1F 指定したプロセス終了させ、コマンド実行
0x20 指定したプロセス終了
0x21 一定時間スリープ後、プログラムを終了
0x22 サービス登録
0x23 ファイル削除
Source: https://www.lac.co.jp/lacwatch/report/20250514_004379.html
https://www.lac.co.jp/lacwatch/report/20250514_004379.html
Page 13 of 13