2025年の12月にRapid7がRaccoon Stealer系のルールでマルウェアを検出した。

そこには何故か難読していないdllも一緒にあったので、簡単に静的解析できてしまったとのこと。

これが、サンタさんのプレゼントってことですね。

マルウェア解析結果はRapid7の記事を見てもらった方が良いので、ここではSantaStealerのWebパネルの話をする。

SantaStealer is Coming to Town: A New, Ambitious Infostealer Advertised on Underground Forums | Rapid7 Blog

SantaStealerのWeb管理画面

Web管理画面といってもサーバアプリケーションが配られているわけではなく、Webブラウザで完結できるサービスになっている。

ちなみに.suドメインを使用している。つまり、ソビエト連邦（Soviet Union）ドメインということ。

ビルドページ

ログインすると直ぐビルドページに飛ぶ

ビルド画面の最初の部分は、telegramボットと接続したり、名前付けたり。

次のオプションは情報を摂取するアプリケーションの指定。

企業で使われてそうなもの、ファイル転送、リモート操作、パスワードマネージャ、ゲーム関係など本当に色々。それぞれのアプリケーションで重要そうな拡張子のファイルだけを取得するように設定できる。
「Edit」、「Add New Application」ということは自分でカスタムしたり、追加したりできそう。

お次は、アプリケーションごとに特化した機能の設定。
Discordトークン、Windowsのライセンス？

ブラウザの履歴

ドキュメントファイルと仮想通貨系ファイルの設定が何で一緒になっているか分らんが、次の部分が一番凝っているオプション。

">

拡張子は好きに追加できるし、検索キーワードも好きに編集できる。既に登録されているものだけでも、とにかく逃さない意気込みを感じますな。

続いて、システム情報、Steamトークン、Telegramデータ。

インフォスティーラーのWatermarkが消せる？

CIS諸国を標的にしないのは任意で選べるオプションなのは珍しいかもしれない。大抵は、CIS諸国をターゲットに含めないことでロシアに見逃してもらって自由にできるっていうのが定石。 おそらく、ロシアでC2をホストしていると思われるがこれはヤバいんじゃないか？

クリップボードを監視して、関連アドレスがコピーされたときに置き換える機能。こんな感じに設定するのか。
クリップボード内では、ここで設定したアドレスに勝手に変わって意図せずペーストしてしまうと。

追加のバイナリも付属できる？ついでにAD情報を収集するようなバイナリを付けたりするんだろうか。
もしくは、SantaStealerが優秀なら単純にLoaderとして使う人も居るんだろうか。

機能一覧ページ

先のビルド時のオプションで付加される機能がまとまっているページ

こういうファイル構成ならSantaStealerということが分かる。インフォスティーラーごとにファイル構成が違ったりするし。
ただし、色んなところで転売、転載されたときにファイル追加したり書き換えたりもするので結局ファイル構成だけじゃ分かんないですけどね。

統計ページ

統計的なページがあるので、ここで感染した状況を確認できるのでしょう。

お値段

お値段は以下のようになっている。

基本プランは$200/月、プレミアムプランは$300。
ビルドページには色々オプションあったが、実はプレミアムプランじゃないと使えない感じか。

AV回避は$300からに見えるが、Rapid7曰くまだまだ開発中という出来ということだった。

Lifetimeは$1000と。

以上、昨年のサンタさんはプレゼントを配るのではなく、大事なものを奪っていくサンタでした。

難読化される前のdllは配ってたけどね。

今の段階だと、あんまり優秀なものに見えないし、Rapid7の解説やWebパネルの状況からもセキュリティ意識の欠如が感じられる。

それを超える機能開発が行われていけば、恐ろしいものになる可能性があるかもしれないが......。