MicrosoftのProject IreがLOTUSLITEの新亜種を自律的に発見――72社中1社のみが検出に成功
MicrosoftのLLM自律エージェントProject Ireが、これまで確認されていないLOTUSLITEマルウェアの亜種を特定した――発見時点では72社中わずか1社のセキュリティベンダーのみが検出していた。Ireは人間の入力やコンテキストのメタデータなしに、純粋な静的リバース解析のみで動作した。
この記事はAIにより一次情報源から生成されました。
Microsoftの研究チームは2026年6月12日、高度な脅威の検出パラダイムを変えるプロジェクトの新たな詳細を発表した:Project Ire――人間のアナリストを一切介さず、サンプルに関するメタデータもなしに、純粋な静的リバース解析のみでマルウェアを分類する自律エージェントだ。
バイナリコードをリバース解析する自律エージェント
Project Ireは大規模言語モデルと産業用ディスアセンブラおよびバイナリ解析ツールを組み合わせ、未知のマルウェアサンプルを自律的に解析する。エージェントはファイルの出所、攻撃対象、事前分類に関する一切の情報を受け取らない。唯一の入力はバイナリファイルそのもの;唯一の出力はインストール手順、C2コマンド構造、コード難読化技術を網羅する詳細な動作レポートだ。
このアプローチは現代のサイバーセキュリティの最大の課題の一つを直接解決する:マルウェアの作者はシグネチャ検出を回避するためにIOC(侵害の痕跡)を継続的にローテーションしている。従来のアンチウイルスシステムが既知のハッシュ値とIPアドレスを検索するのに対し、Ireはコードの動作を解析する――これにより既知のIOCが一致しない亜種でも認識できる。
LOTUSLITEとは何か、そしてIreはどのように認識したのか?
LOTUSLITEはWindowsのDLLバックドアで、Acronisが中程度の信頼度でMustang Pandaグループに帰属させて文書化したものだ。その特徴は、独立したローダーとDLLを使用するアーキテクチャ、カスタムバイナリプロトコルを使用したC2サーバーへのHTTPS通信、パイプを介して実装されたインタラクティブシェル、Windowsレジストリ(HKCUのRunキー)への書き込みによる永続性だ。C2サーバーへのトラフィックはGoogleとMicrosoftのサービスとの正当な通信に偽装されている。
2026年5月28日、Project IreはSHA-256ハッシュ値47e51e82229e80a387c3cb100d39d3705e6360bbf9bfa1601dbc484e8d02e653のサンプルを解析した――サイズ253 KBのPE DLLファイルだ。その時点で72社中わずか1社のセキュリティベンダーがサンプルを悪意あるものとしてフラグを立てていた。6月4日までにその数は70社中7社に増えたが、依然として劇的に低い割合だ。未検出のベンダーにはCrowdStrike Falcon、SentinelOne、Sophos、Trellix、Palo Alto Networks、ESETが含まれる。
Ireは、既知のIOCとの一切の重複なしに、動作シグネチャに基づいてLOTUSLITEの亜種であると結論付けた。以前に文書化されたサンプルからの主な相違点は以下のとおり:
- インストールディレクトリ:
C:\ProgramData\SmartPrint\(Technology360NBに対して) - 永続性のためのレジストリキー:
DadaBank(Lite360に対して) - C2マジックDWORD:
0xB2EBCFDF(0x8899AABBに対して)
これらの違い――攻撃者による意図的なローテーション――はシグネチャ検出システムを完全に欺く。コードのセマンティクスを解析し、リテラル値ではないIreにとって、これは障害にならない。
帰属:組み込み文字列への注意
バイナリファイル内に難読化されていない文字列BelievemeIamMustang-Pandaが発見された。Acronisはインフラとツール・技術・手続きに基づいてLOTUSLITEファミリーをMustang Pandaグループに帰属させた。しかしMicrosoftの研究チームは明示的に独自の帰属判定を控えた。
理由は明確だ:組み込みの帰属文字列は意図的な偽情報である可能性がある――LLM解析を使用する自動化システムを欺くことを意図した偽旗工作だ。Ireはこのリスクを認識するよう設計されている:エージェントはバイナリの動作のみに基づいた証拠連鎖を構築し、攻撃者によって植え付けられた可能性のあるメタデータや文字列には依拠しない。
セキュリティ産業への影響
Project Ireは、本番のセキュリティコンテキストにおけるLLMベースの静的リバースエンジニアリングの実用的な応用を実証している。いくつかの結論は特に重要だ。
第一に、シグネチャ検出は同一マルウェアファミリーの亜種に対して構造的な欠点を持つ:アクターはいくつかの定数を変えるだけでほぼすべての商用EDRシステムを通過できる。最初のスキャン時にわずか1.4%のベンダーが検出したサンプルがこれを明確に示している。
第二に、動作解析は自律的にスケールする――Ireはアナリストの関与なしに数千のサンプルを処理できる。第三に、プロジェクトはLLMエージェントが非構造化なメモだけでなく、法的に使用可能な証拠連鎖を生成できることを示している。
Project Ireは人間の研究者の代替ではなく、能力の乗数だ。アナリストが優先度の高いインシデントを処理している間、Ireは日数または週数待つことになり、その間も被害者のシステム上でアクティブな脅威であり続ける不審なサンプルの長い列を処理する。
よくある質問
- Microsoft Project Ireとは何か?
- Project Ireは大規模言語モデルを基盤とするMicrosoftの自律エージェントで、人間の監視やサンプルに関するメタデータなしにマルウェアの静的リバース解析を実行します。
- 最初の発見時にLOTUSLITE亜種を検出したセキュリティベンダーは何社か?
- 2026年5月28日の最初の発見時点では、72社中わずか1社のセキュリティベンダーがサンプルを悪意あるものとしてフラグを立てていました。6月4日までにその数は70社中わずか7社に増えました。
- LOTUSLITEはどのハッカーグループに帰属するとされているか?
- Acronisは中程度の信頼度でLOTUSLITEファミリーをMustang Pandaグループに帰属させていますが、Microsoft Researchは、組み込みの帰属文字列が意図的な偽情報である可能性があるとして、独自の帰属判定を控えています。
📬 AIニュースをあなたの受信箱へ
毎日のダイジェストを自分仕様に——トピック、ソース、頻度を選べます。ワンクリックで解除。