【ITニュース解説】TAG-150 Develops CastleRAT in Python and C, Expanding CastleLoader Malware Operations

2025年09月05日に「The Hacker News」が公開したITニュース「TAG-150 Develops CastleRAT in Python and C, Expanding CastleLoader Malware Operations」について初心者にもわかりやすいように丁寧に解説しています。

作成日: 2025年09月06日更新日: 2025年11月20日

ITニュース概要

マルウェア配信サービスCastleLoaderの背後にいるTAG-150が、新たなリモートアクセスツールCastleRATを開発。PythonとC言語版があり、システム情報の収集、追加ペイロードの実行、CMD/PowerShell経由でのコマンド実行が可能。CastleLoaderの活動範囲を拡大する目的で使用されるとみられる。

出典: TAG-150 Develops CastleRAT in Python and C, Expanding CastleLoader Malware Operations | The Hacker News公開日: 2025年09月05日

ITニュース解説

CastleRATとは、CastleLoaderというマルウェア配布システムを背後で操る攻撃者集団TAG-150が開発した遠隔操作型トロイの木馬（RAT）のことだ。RATは、攻撃者が感染したコンピュータを遠隔から操作するために使用するマルウェアの一種であり、感染したデバイスから情報を盗んだり、追加のマルウェアをインストールしたり、さまざまな悪意のある活動を実行したりするために利用される。

今回のニュース記事では、このCastleRATがPythonとCという2つの異なるプログラミング言語で開発されている点が重要だ。なぜ攻撃者が複数の言語でマルウェアを開発するのか、そしてそれがシステムエンジニアにとってどのような意味を持つのかを理解することが大切になる。

まず、Python版CastleRATについて解説する。Pythonは比較的高級なプログラミング言語であり、可読性が高く、短時間で開発できるという特徴がある。そのため、プロトタイプの作成や、迅速な機能追加に適している。攻撃者がPython版CastleRATを開発した理由としては、開発速度を優先し、迅速にマルウェアを改良・展開するためと考えられる。ただし、Pythonはインタープリタ言語であるため、実行にはPythonインタプリタが必要となる。そのため、感染対象のシステムにPythonがインストールされていない場合、動作しない可能性がある。攻撃者はこの問題を解決するために、PyInstallerなどのツールを使用し、Pythonスクリプトをスタンドアロンの実行可能ファイルに変換することがある。

次に、C言語版CastleRATについて解説する。C言語は低レベルなプログラミング言語であり、ハードウェアに近い操作が可能で、実行速度が速いという特徴がある。そのため、Python版よりも高いパフォーマンスが求められる場合や、システムに深く侵入する必要がある場合に適している。攻撃者がC言語版CastleRATを開発した理由としては、より高度な機能や、よりステルス性の高い動作を実現するためと考えられる。C言語で開発されたマルウェアは、Python版よりも検出されにくい場合がある。なぜなら、C言語はシステムの中核部分を操作するための標準的な言語であり、そのコードは正当なプログラムと区別しにくい場合があるからだ。

CastleRATの主な機能は、システム情報の収集、追加ペイロードのダウンロードと実行、CMD（コマンドプロンプト）およびPowerShell経由でのコマンド実行だ。システム情報の収集は、感染したコンピュータのOSの種類、バージョン、インストールされているソフトウェア、ネットワーク設定などを収集する。これらの情報は、攻撃者が標的のシステムをより深く理解し、次の攻撃の足がかりとするために使用される。

追加ペイロードのダウンロードと実行は、CastleRATが感染後に別のマルウェアをダウンロードして実行する機能だ。これにより、攻撃者は必要に応じて機能を拡張したり、別のマルウェアをインストールしたりすることができる。例えば、ランサムウェアをダウンロードしてシステムを暗号化したり、キーロガーをインストールしてユーザーの入力を盗んだりすることが考えられる。

CMDおよびPowerShell経由でのコマンド実行は、攻撃者が感染したコンピュータ上で任意のコマンドを実行できる機能だ。これにより、攻撃者はファイルの操作、レジストリの変更、ネットワークの設定変更など、さまざまな操作を実行できる。PowerShellはWindowsシステムで強力なコマンドラインシェルであり、システム管理者が日常的に使用するツールだが、攻撃者も悪用してシステムを制御することができる。

システムエンジニアを目指す初心者にとって、このニュース記事が示唆する重要なポイントはいくつかある。まず、マルウェアは単一の言語で開発されるとは限らないということだ。攻撃者は目的や状況に応じて、複数の言語を使い分ける。そのため、システムエンジニアはPythonやC言語など、さまざまなプログラミング言語の知識を持つことが望ましい。

次に、マルウェアの動作原理を理解することが重要だ。CastleRATは、システム情報の収集、追加ペイロードのダウンロードと実行、CMDおよびPowerShell経由でのコマンド実行など、典型的なRATの機能を持っている。これらの機能を理解することで、マルウェアの検出や防御に役立てることができる。

最後に、セキュリティ対策の重要性を再認識する必要がある。CastleRATのようなマルウェアからシステムを保護するためには、最新のセキュリティパッチを適用し、信頼できないソースからのソフトウェアをインストールしない、強力なパスワードを使用する、多要素認証を有効にするなどの対策を講じることが重要だ。また、セキュリティ意識を高め、不審なメールやWebサイトに注意することも大切だ。

このニュース記事は、システムエンジニアを目指す初心者がマルウェアの脅威を理解し、セキュリティ対策の重要性を認識するための良い機会となるだろう。