ロシア系ハッカーが世界中のBlender ユーザーを標的としたサイバー攻撃キャンペーンを展開|セキュリティとデザインのニュース-セキュリティ対策Lab

投稿日時: 2025年12月04日更新日時: 2025年12月04日

エンドポイント防御ベンダーの Morphisec は、3D 制作ソフト「Blender」のプロジェクトファイル（.blend）を悪用して情報窃取マルウェア StealC V2 を配布する攻撃キャンペーンを複数阻止したとする調査レポートを公開しました。

1 概要
2 Blender がなぜ狙われるのか
3 攻撃チェーン：.blend ファイルから StealC V2 まで
4 StealC V2 の特徴
5 低い検出率とステルス性
6 ロシア系オペレーションとの関連
7 Morphisec による防御アプローチ
8 組織・個人が取るべき対策

概要

Morphisec の調査により、3D 制作ソフト「Blender」のユーザーを狙う新たなサイバー攻撃キャンペーンが確認されています。

この攻撃では、Blender のプロジェクトファイルである .blend ファイルに悪意ある Python スクリプトを仕込み、情報窃取マルウェア「StealC V2」を感染させる手口が使われています。キャンペーンは少なくとも約 6 か月間にわたり継続しており、3D モデル共有サイト CGTrader 上に不正な .blend ファイルがアップロードされていたことが判明しています。

過去にも悪意ある .blend ファイルについては Reddit やブログなどで注意喚起が行われていましたが、それらと StealC V2、あるいはロシア語圏の攻撃者との関連は指摘されていませんでした。

Morphisec は今回の調査で、この Blender を悪用したキャンペーンが、以前に Electronic Frontier Foundation（EFF）をかたってオンラインゲーム「Albion Online」のプレイヤーを狙った StealC V2 攻撃と、インフラ構成や手口の面で共通点を持つことを確認しています。両者とも、ダミー文書の利用、回避技術、バックグラウンドでのマルウェア実行などの特徴を共有しています。

Morphisec は、このキャンペーンで使われたドメインやファイル群を詳細にトレースし、攻撃チェーン全体を分析するとともに、自社のランサムウェア対策プラットフォームがどの段階で攻撃を阻止したかを明らかにしています。

Blender がなぜ狙われるのか

Blender は、モデリング・アニメーション・レンダリングなどを一通りこなせる、無料かつオープンソースの 3D 制作ソフトウェアで

Windows・macOS・Linux など複数の OS に対応しており、活発なコミュニティと豊富なアドオン、無償で利用できる点から、趣味のクリエイターからプロ、教育機関に至るまで幅広く利用されています。

攻撃者が特に悪用しているのは、.blend ファイル内部に Python スクリプトを埋め込める機能です。Blender では bpy.data.texts という領域にスクリプトを保存でき、たとえば Rig_Ui.py のようなスクリプトでキャラクターの顔や服装などを操作する UI を自動生成することができます。

設定画面の「Preferences → File Paths → Auto Run Python Scripts」で自動実行が有効になっている場合、ユーザーが .blend ファイルを開くだけで、ファイルに埋め込まれた Python コードが自動的に実行されます。

本来は正当な用途のための機能ですが、攻撃者はここに悪意あるコードを仕込み、開いただけでマルウェア感染が始まるよう細工しているとされています。

Morphisec は、信頼できる配布元が明確でない限り、この「Auto Run Python Scripts」を有効化しないよう注意を促しています。Blender は GPU を搭載した物理マシン上で動作することが多く、サンドボックスや仮想環境では再現されにくいことから、攻撃者にとっても魅力的な標的になっていると分析されています。

攻撃チェーン：.blend ファイルから StealC V2 まで

このキャンペーンでは、攻撃者はまず CGTrader のような無料 3D マーケットプレイスに、通常の 3D モデルに「見える」 .blend ファイルをアップロードします。

たとえば宇宙服をまとったキャラクターなど、魅力的に見えるモデルとして公開し、ユーザーにダウンロード・利用させる形です。

調査対象となった .blend ファイル（SHA256: c62e0…7143）には、正規の UI スクリプトを装った Rig_Ui.py が埋め込まれていました。ユーザーが Auto Run を有効にした状態でファイルを開くと、Blender が内部の Python スクリプトを実行し、そこから一連の感染プロセスが始まります。

スクリプトはまず、攻撃者が用意した Worker サービス経由の URL（例: blenderxnew[...]workers.dev/get-link）からローダーをダウンロードします。次にそのローダーが PowerShell スクリプト（Zalupa.ps1 とされるファイル）を取得し、さらにこの PowerShell が複数の ZIP アーカイブを外部サーバからダウンロードします。

ダウンロードされる ZIP のうち、「ZalypaGyliveraV1.zip」には StealC を含む Python 実行環境が格納され、「BLENDERX.zip」には補助的な Python 製のスティーラーが含まれています。これらは一時フォルダ（%TEMP%）に展開されたのち、ショートカットファイル（.lnk）として非表示で実行され、スタートアップフォルダにコピーされることで永続化を獲得します。

その後、Python スクリプトは「Pyramid」と呼ばれる C2（コマンド＆コントロール）仕組みを通じて、ChaCha20 で暗号化されたペイロードを外部のログイン用 URL からダウンロードし解読します。この最終段階で展開されるのが、情報窃取マルウェア StealC V2 です。

StealC V2 の特徴

StealC V2 は、アンダーグラウンドのマーケットプレイスで販売されている「情報窃取型（インフォスティーラー）」マルウェアです。

Morphisec の調査によると、StealC V2 は 2025 年 4 月 28 日に元の販売スレッドの編集という形で告知され、その後短期間で機能拡張が繰り返されてきました。料金は少なくとも 5 月末までは 1 か月 200 ドル、3 か月 550 ドル、6 か月 800 ドルと提示されていたとされています。

7 月 11 日時点の更新では、マルウェア本体と管理者用ダッシュボードの双方がアップグレードされており、低レベルのサイバー犯罪者でも使いやすい「サービス」として進化しています。

機能面では、23 種類以上のブラウザ（Chromium 系、Firefox、Opera、Brave など）からの情報窃取に対応し、多くのブラウザでサーバ側での資格情報復号をサポートしています。最新の Chrome 132 以降にも対応していることが明記されています。加えて、100 を超える Web プラグインや拡張機能、15 種類以上のデスクトップウォレット、Telegram や Discord などのメッセージングアプリ、ProtonVPN や OpenVPN などの VPN クライアント、Thunderbird などのメールクライアントから情報を盗む機能も備えています。また、UAC（ユーザーアカウント制御）を迂回するためのバイパス機能も更新されていると報告されています。

こうした機能により、StealC V2 は認証情報・暗号資産ウォレット・通信アカウントなど、多数の高価値データを一度に盗み出せる汎用的なスティーラーとして位置付けられます。

低い検出率とステルス性

Morphisec は、VirusTotal 上で確認された StealC 関連サンプルの多くが「非常に低い検出率」であったと指摘しています。

実際に、一部のハッシュ値に対して登録時点で検出していたエンジンはごく少数にとどまり、多くのセキュリティ製品がマルウェアとして認識できていなかったことがわかります。

攻撃者側は、PowerShell スクリプトや Python 環境、暗号化されたペイロードを段階的に読み込む「多段構成」を採用しており、この構造が静的なシグネチャ検知をすり抜ける一因になっていると考えられます。また、.blend ファイル自体が 3D モデルとして利用される正当なファイル形式であるため、受信時点では不審視されにくい点も検出を難しくしている要素です。

Morphisec は、こうした検出の難しさから、従来型のアンチウイルスやシグネチャベースの対策だけでは十分ではなく、挙動ベースや事前防御型のアプローチが重要だと強調しています。

ロシア系オペレーションとの関連

今回の Blender キャンペーンは、それ以前に観測されていたロシア語圏の攻撃オペレーションとの共通点が多数見られると報告されています。Morphisec は、Electronic Frontier Foundation（EFF）を名乗り、オンラインゲーム「Albion Online」のプレイヤーに StealC V2 を配布したとされるキャンペーンを例として挙げています。両者は、Pyramid ベースの C2 インフラ、ダミーファイル（おとり文書）の利用、ステルス性の高いバックグラウンド実行など、特徴的な要素を共有しています。

また、IOCs（侵害指標）として公開された C2 サーバの IP アドレスや URL 群は、複数の Workers.dev ドメインや同系統のパス構造を持つホスト名が並んでおり、同一または密接に関連した犯罪者グループによるインフラ運用である可能性が示唆されています。

Morphisec 自体は、特定国家との直接的な関与について断定しているわけではありませんが、「ロシア語圏のオペレーションで観測されてきた手口やインフラとの類似性」があると評価しており、国際的なサイバー犯罪エコシステムの一部として StealC V2 が活用されている実態が浮かび上がっています。

Morphisec による防御アプローチ

Morphisec は、今回のキャンペーンを含む複数の攻撃を、自社のアンチランサムウェア・プラットフォームで早期に阻止したと説明しています。同社のアプローチは、単に StealC 本体を検出するのではなく、「窃取そのものを起こさせない」ことに重点を置いたものです。

具体的には、自動生成される「高精度なダミー資格情報（デコイクレデンシャル）」をメモリやブラウザストレージ内に注入し、実際のユーザーアカウントに酷似した形で配置します。StealC のようなスティーラーがこれらの資格情報を読み取ろうとすると、そのアクセスが検知トリガーとなり、関連するプロセスが強制終了されることでデータの持ち出しや永続化を防止する仕組みです。

この方式は、従来のシグネチャに依存せず、未知の亜種やゼロデイ攻撃に対しても決定論的にブロックできる点が特徴とされています。また、エンドポイントのパフォーマンスへの影響を最小限に抑えつつ、ランサムウェアを「起動前」に止めるというコンセプトで設計されていると説明されています。

組織・個人が取るべき対策

3D 制作やゲーム開発の現場では、外部サイトから 3D モデルやアセットをダウンロードして使うことが日常的に行われています。そのため、今回のような .blend ファイル経由の攻撃は、多くのユーザーにとって現実的なリスクとなっています。

組織や個人が取るべき基本的な対策としては、以下のようなポイントが挙げられます（いずれも本レポートで示されたリスクに基づく一般的な推奨事項です）。

Blender の設定見直し
信頼できないソースから入手した .blend ファイルを開く場合は、「Auto Run Python Scripts」を無効にしておくことで、少なくとも自動実行による感染リスクを低減できます。
アセット配布サイトの利用時の注意
無料アセットサイト上のファイルは、人気モデルであっても攻撃者が紛れ込ませている可能性があります。投稿者の信頼性やコメント、通報状況などを確認し、不審な点があれば使用を控えることが重要です。
エンドポイント防御の強化
多段構成・暗号化・スクリプト連鎖などを用いた攻撃は、従来のシグネチャ型アンチウイルスだけでは見逃されるおそれがあります。挙動検知やメモリ保護、デコイクレデンシャルなど、事前防御型の技術を組み合わせることが望ましいと考えられます。
セキュリティ教育の実施
開発者やクリエイターに対し、「ファイルを開くだけでコードが走る」環境の危険性を周知し、怪しい挙動や不審なファイルをすぐに報告できる体制を整えることも重要です。