**Palo Alto Networks Unit 42**のサイバーセキュリティ研究者らは、**Operation FlutterBridge**と名付けられた高度なマルバタイジングキャンペーンを公開しました。このキャンペーンは、**FlutterShell**として知られる新しいmacOSバックドアを積極的に拡散しています。 このキャンペーンは、少なくとも2023年から活動している脅威グループ**CL-CRI-1089**に帰属する以前の活動から、著しいエスカレーションを示しています。 ## キャンペーンの進化と帰属 **Operation FlutterBridge**は、2025年8月下旬に初めて報告された、以前に文書化された活動クラスター**JSCoreRunner**（**FileRipple**としても知られる）の最新フェーズとして特定されています。 **CL-CRI-1089**に帰属するオペレーションには、**Recipe Lister**や**Calendaromatic**といったキャンペーンも含まれます。これらは、トロイの木馬化された生産性ソフトウェアを使用して、潜在的に望ましくないプログラム（PUP）やアドウェアを配信する、進行中のキャンペーンシリーズである**TamperedChef**（または**EvilAI**）の広範な指定の下にあります。 ## マルバタイジングと欺瞞的な戦術 攻撃者は、**Google**および**YouTube**の悪意のある広告を悪用しており、これらは**Google**によって検証された企業のネットワークを通じて配布されています。これらの広告は、正規のデスクトップアプリケーションを装ったマルウェアのダウンロードをユーザーに誤認させるための餌として機能します。 このスキームで特定されたフロント企業には、**AdsParkPro LTD**、**Advantage Web Marketing LLC**、**SOFT WE ART LIMITED**（現在は**PACIFIC TRADE SOLUTIONS LTD**）が含まれます。YouControlおよび英国政府のCompanies Houseからの記録は、これらの企業がウクライナの個人と関連があることを示唆しています。 これらの欺瞞的な広告の主な標的は、米国、カナダ、オーストラリア、フランス、ドイツのmacOSユーザーです。 ## FlutterShellの機能の解明 **Flutter**フレームワークで構築された**FlutterShell**は、正規のデスクトップアプリケーションを装って標的を感染させます。**Unit 42**は、「アドウェア機能に加えて、ペイロードはシェルコマンド実行やファイルシステム操作を含むバックドア機能も備えています」と述べています。  このバックドアは、任意のコマンド実行、ファイルシステム操作、および環境変数の外部への持ち出しをサポートします。これらの活動は、2026年3月まで検出されています。 驚くべきことに、観測された**FlutterShell**のサンプルはすべて、有効な**Apple Developer ID**で署名されており、**Apple**の署名プロセスを正常に通過していました。これは、**Apple**の自動セキュリティチェックが提出時に悪意のあるものとしてフラグを立てることに失敗し、マルウェアがmacOSの重要なセキュリティ対策を回避することを可能にしたことを意味します。 実行されると、**FlutterShell**は**Google Chrome**の設定ファイルを変更し、ブラウザをハイジャックして、すべてのトラフィックを攻撃者が制御する広告で満たされた仲介サイトに強制的に通過させます。 ## WebViewアーキテクチャ：動的な脅威 **FlutterShell**の重要な技術的側面は、JavaScriptからネイティブへのブリッジを使用するWebViewベースのアーキテクチャです。この設計により、攻撃者は悪意のあるロジックをアプリケーションバイナリに直接埋め込むのではなく、外部ウェブサイトにホストすることができます。 「WebViewベースのアーキテクチャでは、ネイティブアプリケーションは埋め込みWebブラウザコンポーネントを使用してコンテンツを表示します」と**Unit 42**は説明しています。「JavaScriptからネイティブへのブリッジは、このWebコンテンツとホストネイティブアプリケーション間の通信チャネルとして機能し、データの交換や機能の相互呼び出しを可能にします。」 このアプローチにより、攻撃者はマルウェアの動作をリアルタイムで動的に変更できるようになり、再コンパイルしたり、侵害されたホストに更新バージョンをプッシュしたりする必要がなくなるため、検出と防御がより困難になります。 ## アクティブな開発と持続的な脅威 研究者らは、**PodcastsLounge**、**PDF-Brain**、**PDF-Ninja**の3つの異なる**FlutterShell**のバリアントを特定しました。攻撃者のインフラストラクチャでホストされているJavaScriptロジック内に未完成の関数が存在することは、マルウェアがアクティブに開発されていることを示唆しています。 特に、**PDF-Brain**と**PDF-Ninja**は、人工知能（AI）を活用した要約機能を備えており、ドキュメントを攻撃者が制御するサーバーに中継して処理します。マルウェアはまた、システムフィンガープリンティングを実行し、ブラウザセッションデータを盗みます。 動的なペイロード変更のためのWebViewベースのコードアーキテクチャといった技術的な類似性は、**FlutterShell**を**Calendaromatic**および**Recipe Lister**と結びつけています。さらに、**Advantage Web Marketing LLC**は、悪意のある広告を配布するだけでなく、クラスターに関連するWindowsアドウェアバリアントの署名者としても観察されています。 **Unit 42**は、「**JSCoreRunner**から**FlutterShell**への進化は、**CL-CRI-1089**の背後にある攻撃者にとって技術的な深さの大幅な増加を表しています」と警告しています。彼らは、配布ネットワークの規模と、広告ネットワークの審査を回避するための検証済みシェルエンティティの使用を強調し、マルバタイジングの持続的な危険性を強調しています。「複数のシェルエンティティの調整、および新しい**FlutterShell**バリアントの迅速な開発と配信は、このキャンペーンがまだ終わっていないことを示しています。」