ロシアFSB系「Secret Blizzard」、Kazuarバックドアをモジュール型P2Pボットネットへ進化させていたことが判明

概要

Microsoftの脅威インテリジェンスチームは2026年5月14日、ロシアのFSB Center 16と関連づけられるAPTグループ「Secret Blizzard」（別名：Turla、Snake、Waterbug、VENOMOUS BEARなど）が、長年使用してきたKazuarバックドアを大幅に刷新し、モジュール型のピア・ツー・ピア（P2P）ボットネットへと進化させていたことを詳細なレポートで明らかにした。Kazuarはこれまで単体のバックドアとして知られていたが、今回の調査で発覚した新バージョンは分散型のメッシュネットワーク構造を採用しており、外部からの検知を大幅に困難にする設計が施されている。

Secret Blizzardはヨーロッパ、中央アジア、ウクライナを中心に、外務省・大使館・国防省・防衛産業などを標的とした長期潜伏型の諜報活動を展開していることで知られる。今回のKazuarの高度化は、この脅威アクターが持続的アクセスの維持と発覚回避に多大なリソースを投じていることを示している。

3モジュール構成のアーキテクチャ

新バージョンのKazuarは、役割が明確に分離された3種類のモジュールで構成される。

Kernelモジュールは全体の中枢として機能し、Workerへのタスク配布、Bridgeとの通信制御、リーダー選出、アンチ解析チェックを担う。感染ノード群の中から「リーダーKernel」を選出する仕組みが導入されており、リーダーのみが外部C2サーバと通信を行う。他のKernelは「SILENT」モードで動作し、外部へのネットワークトラフィックを最小化することで検知リスクを抑える。リーダー選出は稼働時間を再起動回数で割った値を基準とし、最も安定して稼働しているノードが選ばれる仕組みだ。

Bridgeモジュールは選出されたリーダーKernelとC2インフラとの間の通信プロキシとして動作する。HTTP、WebSockets、Exchange Web Services（メールベースC2）の複数プロトコルに対応しており、環境に応じて通信経路を切り替えられる。

Workerモジュールは実際の諜報活動を実行する。キーロギング、スクリーンキャプチャ、ファイル収集、システム情報取得、メール（MAPI）データの窃取、最近アクセスされたドキュメントの収集などを担う。取得した情報は専用の作業ディレクトリ（peeps、autos、files、keyloggerなどのサブフォルダで機能別に整理）にステージングされ、実行と流出を分離する設計となっている。

モジュール間の通信にはWindowsメッセージング、Mailslot、名前付きパイプが使用され、AES暗号化とGoogle Protocol Buffersによるシリアライズで保護されている。

高度な回避・隠蔽技術

Kazuarは約150種類の設定オプションを8つの機能カテゴリにわたって持ち、オペレーターが状況に応じて細かくカスタマイズできる。セキュリティ回避の面では、AMSI（Antimalware Scan Interface）バイパス、ETW（Event Tracing for Windows）バイパス、WLDP（Windows Lockdown Policy）バイパスを実装しており、現代のWindowsセキュリティ機能を包括的に無効化する能力を備えている。

配信段階では「Pelmeni」ドロッパーが使用され、暗号化ペイロードをターゲットホストのホスト名に紐付けて暗号化することで、意図した環境以外での実行を防ぐ。「ShadowLoader」もPelmeniと並んで配信に用いられるドロッパーの1つで、ドロッパーはその後、COMオブジェクトとして構成されることが多い.NETローダーを呼び出し、復号したペイロード（Kazuarの各モジュール）をメモリ上に展開する。

また、データ流出のタイミングを業務時間内に制限する機能や週末の活動抑制など、正規のネットワークトラフィックに紛れ込むための詳細な運用制御が組み込まれている。デフォルトでは1時間ごとのハートビート送信となっているが、ブラックアウト期間を設定することで活動パターンの隠蔽が可能だ。

検出と対策

Microsoftは今回の調査結果を受け、Microsoft Defenderでの検知シグネチャ（Kazuar、KazuarModule、KazuarLoaderの各バリアント）を提供するとともに、EDRによる脅威ハンティングと行動ベースの検知の重要性を強調している。静的シグネチャだけでは対応が困難なほどモジュール化・設定可能化が進んでいるため、行動検知を中心とした多層防御が推奨される。具体的な対策として、ネットワーク保護の有効化、改ざん防止機能、EDRのブロックモード、クラウド提供型ウイルス対策、PowerShellの実行ポリシー強化、モジュール・スクリプトブロックログの取得が挙げられている。また、今回の調査ではKernelモジュール、Bridgeモジュール、Workerモジュール、ローダーの各SHA-256ハッシュ値がIoC（侵害の痕跡）として公開されている。

今回の発見は、国家支援型脅威アクターがいかに継続的にツールを洗練させているかを改めて示すものだ。Turla/Secret Blizzardは数十年にわたり活動を続けており、KazuarのP2P化は長期潜伏を目的とした戦略的な進化と言える。