新種マルウェア「CrystalRAT」が登場——遠隔操作・情報窃取・嫌がらせ機能を一体化したMaaS

新種マルウェア「CrystalRAT」が登場——遠隔操作・情報窃取・嫌がらせ機能を一体化したMaaS

カスペルスキーの研究チームは2026年4月1日、Telegram上で販売促進されている新しいマルウェア・アズ・ア・サービス（MaaS）「CrystalRAT」（別名：CrystalX）の詳細レポートを公開した。2026年1月に初めて確認されたこのマルウェアは、階層型のサブスクリプションモデルを採用しており、専用のYouTubeチャンネルを通じてその機能を動画でアピールするなど、従来の地下マーケット販売とは異なるマーケティング戦略を展開している点が注目される。

WebRATとの強い類似性

カスペルスキーによると、CrystalRATはWebRAT（Salat Stealer）と多くの共通点を持つ。具体的には、同一のコントロールパネルデザイン、Go言語ベースのコード構造、ボット形式の販売システムが一致しており、同一開発者または同一グループによる派生マルウェアである可能性が示唆されている。

主な機能

遠隔操作（RAT）機能 CMDによるコマンド実行、ファイルのアップロード・ダウンロード、ファイルシステムの閲覧、組み込みVNC（Virtual Network Computing）によるリアルタイム画面制御が可能。マイクからの音声・映像キャプチャも備え、スパイウェアに近い動作を示す。

情報窃取（インフォスティーラー）機能 Chromiumベースのブラウザ（ChromeElevatorツール経由）、Yandex、Operaを標的とするほか、Steam、Discord、Telegramなどのデスクトップアプリからもデータを収集する。なおカスペルスキーの調査時点では、アップグレード準備中として一時的に無効化されていた。

キーロガーとクリッパー キーストロークをリアルタイムでC2（コマンド＆コントロール）サーバーに送信するキーロガーと、クリップボード内の暗号資産ウォレットアドレスを正規表現で検出して攻撃者のアドレスに差し替えるクリッパー機能も実装されている。

技術的な防御回避 生成されるペイロードはzlib圧縮後、ChaCha20ストリーム暗号で暗号化される。C2との通信にはWebSocketを使用し、アンチデバッグ・仮想マシン検出・プロキシ検出といったアンチ解析機能も備える。また、ジオブロッキングや実行ファイルのカスタマイズも可能なビルダーツールが提供されており、攻撃者が用途に応じてペイロードを柔軟に調整できる。

「いたずら」機能でスクリプトキディを取り込む戦略

CrystalRATが他のMaaSと一線を画すのが、豊富な「プランクウェア（嫌がらせソフト）」機能だ。感染端末に対して以下の操作が可能となっている。

• デスクトップの壁紙変更
• ディスプレイの向きを任意の角度に変更
• システムの強制シャットダウン
• マウスボタンの再マッピング
• キーボード・マウス・モニターの入力デバイス無効化
• 偽の通知表示・カーソル位置の操作
• デスクトップアイコン、タスクバー、タスクマネージャー、コマンドプロンプトの非表示
• 攻撃者と被害者のチャットウィンドウ表示

こうした「いたずら」機能は直接的な金銭的利益に貢献しないが、スクリプトキディ（技術力の低い初心者攻撃者）を引き付けるブランド差別化戦略と分析される。また、情報窃取モジュールがバックグラウンドで動作する間の目くらましとして機能する可能性もある。

対策

カスペルスキーは、信頼できないソースからのソフトウェアやメディアのダウンロードを避け、オンラインコンテンツとのやり取りに慎重を期すよう呼びかけている。日本国内でも暗号資産取引やSteam・Discordの利用が広く普及していることから、今後の国内被害にも注意が必要だ。

元記事: New CrystalRAT malware adds RAT, stealer and prankware features