# Panda’s New Arsenal: Part 1 Tmanger

**[insight-jp.nttsecurity.com/post/102gi9b/pandas-new-arsenal-part-1-tmanger](https://insight-jp.nttsecurity.com/post/102gi9b/pandas-new-arsenal-part-1-tmanger)**

Hiroki Hada

## はじめに

2020年2月、私達はAPT攻撃グループ”TA428”による攻撃キャンペーン”Operation LagTime IT”についてリサーチ
を行っていました。攻撃者は私達の監視しているシステムに侵入し、様々な侵害活動を行いました。彼らは
Poison IvyやCotx RATを使ってコンピュータのコントロールを得た後、更に侵害を深めるために横展開を行いま
した。攻撃者はEternal Blueを悪用して同一ネットワーク上のいくつかのホストに移動することに成功すると、
そのうちの1つのホスト上で興味深いマルウェアを動かし始めました。PDBに Tmanger と書かれたRATは今まで
に見たことがない未知のマルウェアでした。


-----

このときの侵害について、極めて詳細な調査結果をVB2020 localhostにて発表しました[1]が、ここでは全3回に
分けてTmangerとそれに関連すると思われるマルウェアについて紹介します。第1回目である今回はTmangerを
扱います。

## Tmanger

TmangerはTA428によって利用されているRATです。図 1に示すように、PDBにTmangerと書かれていたことか
ら、私たちはそう呼んでいます。Tmangerはおそらく Tmanager の打ち間違いです。次回以降の記事で紹介し
ますが、Tmangerに関連すると思われるものに Smanager というマルウェアが存在することが理由の1つです。
このマルウェアの作者は意図しているのかは分かりませんが、このような打ち間違いが他にもいくつか見られま
す。例えば Entery や Waston という文字列もその1つです。

図1 TmangerのPDB情報

Tmangerは非常に活発に開発が続いており、関連すると思われる検体も存在します。Tmangerは私達が観測した
攻撃以外にも、TA428の本来の標的であるモンゴルや、一帯一路政策に関わるベトナムに対しても利用されてい
る可能性があります。

TA428はTickやTontoなどの他のAPTグループとRoyal Road RTF Weaponizerを共有していることが報告されてい
ます[2][3]が、Tmangerも他のAPTグループと共有されている可能性があります。しかし、その明確な証拠は発
見していません。

## Analysis Result

私達はTmangerをバージョン1.0 ~ 4.5まで観測しています。基本的にTmangerは SetUp、MloadDll、Client の3
つのパートから成ります。それぞれのパートでいくつかの挙動バリエーションがありますが、基本的な役割は以
下のとおりです。

名称 概要

SetUp MloadDllを展開し、実行する

MloadDll Clientを展開し、実行する

Client RAT本体

名称はそれぞれのEXEやDLLの内部名やPDBから付けており、攻撃者も私達の分類と同じように扱っていると考
えられます。それでは、それぞれについて詳しく見ていきましょう。

### SetUp


-----

MloadDllやClientにも存在する挙動ですが、はじめにCreateEventで特定のイベント名を作成し、その成功の可否
で挙動を変えます。成功した場合は実行を継続しますが、失敗した場合はその時点で終了します。これは多重起
動を防ぐ目的であると考えられます。このとき、イベント名は様々ですが、私達が観測した全てのTmangerは以
下の正規表現を満たします。

/[0-9a-f]{8}-[0-9a-f]{4}-4551-8f84-08e738aec[0-9a-f]{3}/

次に、IsUserAdminでユーザの権限を確認します。これ以降、Adminの場合とそうではない場合で処理が分岐し
ます。Adminの場合とそうではない場合で、永続化の方法が異なっています。

### Adminの場合

まず、XOR 0x88で以下のようなデータをデコードします。これらは後でサービス登録を行う際に使用されま
す。

DFS Replication
FTP Publishing Service
ReadyBoost
Software Licensing
SL UI Notification Service
Terminal Services Configuration
Windows Media Center Extender Service
Windows Media Center Service Launcher
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost
netsvcs
%SystemRoot%\System32\svchost.exe -k netsvcs
MACHINE\SYSTEM\CurrentControlSet\Services\

その後、同様にXOR 0x88でデータをデコードし、得られたAPIを解決します。

RegOpenKeyEx
RegQueryValueEx
OpenSCManager
RegOpenKeyExA
RegQueryValueExA
RegSetValueExA
GetSystemDirectoryA
RegCloseKey

次に、deflateされているデータをinflateし、ランダムな4文字から成るファイル名でSystem32にDLLとして保存
します。このDLLはMloadDllです。

再びXOR 0x88でAPI名をデコードし、解決します。これによって解決されたAPIはCreateServiceAです。さら
に、同じ方法で以下のデータを得ます。

SYSTEM\CurrentControlSet\Services\
Description
DisplayName
ServiceDll
\Parameters

これまでにデコードした文字列を使って、先程System32に作成したDLLをサービスとして登録します。最後
に、そのサービスを起動します。


-----

### Adminではない場合

はじめにTempディレクトリにRahoto.exeというファイルがあるか確認します。存在しない場合、自分自身を
Rahoto.exeという名前でTempディレクトリにコピーし、レジストリのCurrentVersion\Runを使って自動起動の
設定を行います。

その後、MloadDllとして動作します。

### MloadDll

MloadDllはEnteryとServiceMainがエクスポート関数として実装されています。ServiceMainから実行された場合
でも、最終的にEnteryが実行されるため、基本的な挙動は同一です。

はじめに図 2のようにRC4の鍵データを生成します。この処理はTmangerで共通するものです。

図2 暗号鍵を生成する処理

鍵データを生成すると、それを使ってconfigデータを復号します。図 3のように、configデータにはC&Cサーバ
ーのアドレスとポート番号が含まれています。

図3 configデータ

その後、deflateされているデータをinflateします。それによって得られるデータがClientです。最後に、Clientの
エクスポート関数であるcallfuncを呼び出します。

### Client

CreateEventなどの処理を行った後、以下のような端末情報を収集します。

OSやアーキテクチャ情報
ドライブ情報
ホスト情報
ユーザ情報

その後、スレッドが作成され、一連のループを繰り返します。はじめに、ソケットを作成し、成功すると
CreateMutexで以下のMutexを作成します。


-----

sock_hmutex
cmd_hmutex

次に、C&Cサーバーとの接続が確立するかチェックを行います。接続できた場合、C&Cサーバーからのコマン
ド操作を待ちます。コマンドのリストは以下のとおりです。

コマンド 説明

1, 17 特定のプロセスの起動

2 ディレクトリ情報の取得

3, 19, 35 クライアントからC&Cサーバーへファイルの送信

4 ファイル情報の取得

18 ファイルの削除

20, 52 メモリなどのクリーンアップ

34 CreateProcessによるプロセスの起動

36 ファイルの書き込み

50 ファイルのコピー

80, 81 キーログの取得

96 画面キャプチャの取得

それ以外 Sleep

トラフィックはRC4によって暗号化されていますが、それをデコードすると図 4のような構造になっています。


-----

図4 トラフィックの構造

デコード後のデータの先頭に存在するIDはプロセスIDから生成されます。生成処理は以下のとおりです。

このIDによってプロセスとトラフィックを管理しています。

## ツール

TmangerがC&Cサーバーと通信する際、データは暗号化されています。私達はそれをデコードし、トラフィッ
クをパースするツールを作成しました。関連するマルウェアの解析やインシデント調査にご活用ください。

[https://www.nttsecurity.com/ja-jp/Resources](https://www.nttsecurity.com/ja-jp/Resources)

## さいごに

今回はTA428がOperation LagTime ITの中で使用したTmangerというRATについて紹介しました。Tmangerは活
発に開発が行われており、いくつかの関連マルウェアも存在します。今後もTmangerの動向を注視していくべき
でしょう。次回はTmangerに関連すると思われるマルウェアAlbaniiutasについて紹介します。

## IOC

### C&Cサーバー

172[.]105.39.67
136[.]244.82.179

### ファイル情報

**SHA256** **Timestamp** **PDB**


977bd4b7e054b84b4b62e84875ff3277

dd8c039cf3ee0ded435b41025d0d2b21

88ffb081f6924261df32322f343ccb9078

ee45eaa369660892585037baf59078

8987b9587c1d4f6fbf2fa49eb11bb20b8

b30b82d5bc988f5c882501b1f76b82a

85a53a2525643a84509b10d439734509

203a2a74e1a167d5c3494e37a47c8c8c


(UTC)
2020-03-16
13:30:57

(UTC)
2020-03-16
13:38:19

(UTC)
2020-03-20
05:04:56

(UTC)
2025-06-23
04:54:29


C:\Users\sxpolaris\Desktop\2020\TM VS2015\TM_NEW
4.5\Release\MloadDll.pdb

C:\Users\sxpolaris\Desktop\2020\TM VS2015\TM_NEW
4.5\Release\SetUp.pdb


-----

86297be195acaa36ec042523a5484d9e

14fd9fb4cbd977f709e75207358a3f86

5d3db73458eeeb6439ab921159ba447

b01c7a12f7291eb4b5cf510e29a8137c6

ebe05801d32985dc954e754aed63b5ce

e6e889f26533b1635c1f47e42bcb483a

c60490f6fbda0a2cf1a8cd401b2f3ce926

2e600268264229122a4d80e327ed4b

6fdd004d0835577749e8742c91e9f1720

953faa8ecd55d3b203eddd4d6db5568

6fdd004d0835577749e8742c91e9f172

0953faa8ecd55d3b203eddd4d6db5568

71fe3edbee0c27121386f9c01b723e1cf

b416b7af093296bd967bbabdc706393

8109a33c573e00e7849ba2d63714703

e2e7bd65dee1c2c6454951f7fc4b2f275

7807c0177cf37bce6e38ef534f804935f

505a24d735baa53a18e2da766ec136b

4fcb79a73f5286ed8f2bc671b64c76dac

4971a0cce10936f63d210e8e17c5fd5

e494c8916e93295338a7368f86c42fce0

916b559e63d462bd1b3265b6009bf9b

d4b339f502119d4cf10d48c8c7297bba

ebb22387eb7cc4447540b666d27ba166

078498d02775b64c5660ccbfdf12f31f3

b810ed612e10c3dd50660cfa03ad470


(UTC)
2025-08-19
12:08:44

(UTC)
2025-09-06
23:19:33

(UTC)
2025-09-07
14:15:16

(UTC)
2025-09-25
17:28:16

(UTC)
2025-09-25
17:29:26

(UTC)
2025-09-25
17:29:26

(UTC)
2025-09-25
17:36:46

(UTC)
2025-09-25
17:36:46

(UTC)
2025-09-29
13:02:13

(UTC)
2025-10-01
15:47:24

(UTC)
2025-10-01
15:47:26

(UTC)
2025-10-01
15:47:26

(UTC)
2025-10-01
20:09:43


C:\Users\Waston\Desktop\20190403_Tmanger\20191118
TM_NEW 1.0\Release\MloadDll.pdb

C:\Users\Waston\Desktop\20190403_Tmanger\20191118
TM_NEW 4.0\Release\MloadDll.pdb

C:\Users\Waston\Desktop\20190403_Tmanger\20191118
TM_NEW 4.4\Release\MloadDll.pdb

C:\Users\Waston\Desktop\20190403_Tmanger\20191118
TM_NEW 4.4\Release\MloadDll.pdb

C:\Users\Waston\Desktop\20190403_Tmanger\20191118
TM_NEW 4.4\Release\SetUp.pdb


-----

afd457592715bdef21d02c4e4d0e80dd

70cf801a9d4d9afed795494012994372

772e69b3d66ef5b4fdda49d3ca39a545

9b8c3afce77c24ebda698aef5bdbc5c3

8e9fc7bd0673a88a04583dda7d42f278

013aa7abc4e26de86e953cc4a6825708

2999e5209cf1d7fb484832278e11e4c4

950ef40e8f52a44329ed4230135f9b64

## 参考文献


(UTC)
2025-10-05
00:17:56

(UTC)
2025-10-05
15:34:41

(UTC)
2025-10-06
08:33:38

(UTC)
2025-10-06
19:16:45


C:\Users\Waston\Desktop\20190403_Tmanger\20191118
TM_NEW 4.4\x64\Release\MloadDll.pdb

C:\Users\Waston\Desktop\20190403_Tmanger\20191118
TM_NEW 4.4\Release\MloadDll_REG.pdb

C:\Users\Waston\Desktop\20190403_Tmanger\20191118
TM_NEW 4.5\Release\MloadDll_REG_DLL.pdb

C:\Users\Waston\Desktop\20190403_Tmanger\20191118
TM_NEW 4.5\Release\ttt.pdb



[1] [VB2020 localhost, Operation LagTime IT: colorful Panda footprint](https://vblocalhost.com/presentations/operation-lagtime-it-colourful-panda-footprint/)

[2] Proofpoint, Chinese APT “Operation LagTime IT” Targets Government Information Technology Agencies in
Eastern Asia

[3] [nao_sec, An Overhead View of the Royal Road](https://nao-sec.org/2020/01/an-overhead-view-of-the-royal-road.html)


-----