Millenium RAT 4.0、Telegram C2を悪用し世界規模で拡散
Telegram APIを悪用したC2通信で検知回避、160カ国以上で確認
Millenium RAT 4.0が、Telegramを悪用した高度なコマンド・アンド・コントロール(C2)通信を採用し、従来の検知手法を回避していることが確認された。本マルウェアは.NETベースからC++へ移行したことで機能性と実行効率が向上し、従来型のC2インフラを介さずにTelegram APIを利用することで検知を困難にしている。
本マルウェアは、Base64とXORで難読化した設定情報を利用してTelegram APIの構成情報を秘匿する。RCDATAリソース内に保存されたBase64エンコード済みデータを、ハードコードされたパスワードでXOR復号する仕組みを採用しており、Telegramボットのトークンやキーロガー設定などが含まれている。このため、従来のネットワークIOCに依存した検知では発見が難しいケースがある。
Millenium RAT 4.0は、C++とTelegram Bot APIを利用して、キーロギングやスクリーンショットの取得、ブラウザ情報の窃取などをWindows API経由で実行する。また、標準的なHTTPS通信を利用してTelegram Bot APIからコマンドを受信するため、ネットワークベースの監視を回避しやすい点も特徴とされる。
さらに、開発者「ShinyEnigma」は本RATを低価格のMaaS(Malware-as-a-Service)として提供しており、世界各地への拡散を後押ししている。感染事例は2026年第1四半期までに160カ国以上で確認されており、被害の拡大が懸念される。
セキュリティ専門家は、Base64およびXORで難読化されたTelegram関連アーティファクトの解析を進めるとともに、**%APPDATA%**配下の不審なファイルやUACプロンプトの挙動を重点的に監視することが推奨される。また、RCDATAリソース内に残るTelegram API関連の痕跡を調査することで、より効果的な検知と防御につなげることができる。

