Cybleのセキュリティ研究者らが、X11ベースのシステム上でクリップボードの内容を変更して暗号通貨ウォレットアドレスを乗っ取る新しいLinuxマルウェアClipXDaemonを発見した。このマルウェアはコマンド・アンド・コントロールサーバーなしで動作し、アドレスをリアルタイムで監視・置換して資金を攻撃者にリダイレクトする。多段感染プロセスを使用し、検知を回避するためのステルス手法を採用している。
CybleのResearch & Intelligence Labs (CRIL)によって特定されたClipXDaemonは、2026年2月上旬に登場し、X11グラフィカルインターフェースを実行するデスクトップLinux環境を標的とする。マルウェアは3段階の感染チェーン経由で到達する:オープンソースのbincrypterフレームワークで生成された暗号化ローダー、AES-256-CBCとgzip圧縮解除を使用して復号するメモリ常駐ドロッパー、および~/.local/bin/に8〜19文字のランダムファイル名で書き込まれるオンディスクELFペイロードです。
AIによるレポート AIによって生成された画像
サイバー犯罪者らがSnap Store上の信頼できるLinuxアプリケーションを侵害し、期限切れドメインを押さえてクリプトカレンシー復元フレーズを盗むマルウェアを配信。SlowMistのセキュリティ専門家とUbuntu貢献者Alan Popeがこの攻撃を指摘し、確立されたパブリッシャーアカウントを狙い、人気ウォレットを装った悪意あるアップデートを配布。Canonicalは影響を受けたsnapを削除したが、より強力な保護策の要請が続く。
SysUpdate マルウェアの新しいバリアントが Linux システムを標的にするものが発見され、コマンドアンドコントロール通信のための高度な暗号化を備えています。LevelBlue のセキュリティ研究者がデジタルフォレンジック業務中に脅威を特定し、そのトラフィックを復号するためのツールを開発しました。マルウェアは検知を回避するために正当なシステムサービスとして偽装しています。
AIによるレポート
Qilinランサムウェアグループ(Agendaとしても知られる)は、検知を回避するためにWindowsホスト上でLinuxペイロードを使用したハイブリッド攻撃を開発しました。正当なリモート管理ツールを悪用し、脆弱なドライバを活用することで、攻撃者は防御を無効化し、バックアップを標的にします。このクロスプラットフォームの戦術は、ランサムウェアの進化する洗練度を強調しています。
研究者らが、コマンド&コントロール操作に時代遅れのIRCプロトコルに依存する新しいLinuxボットネットSSHStalkerを発見した。このボットネットはSSHスキャンとブルートフォースで拡散し、クラウドインフラを標的にする。古い脆弱性と永続化メカニズムを組み込み、広範な感染を実現している。
AIによるレポート
脅威アクターが Pastebin のコメントを利用して、Swapzone.io で悪意ある JavaScript を実行させる詐欺を推進しており、Bitcoin 取引を乗っ取っています。この攻撃は ClickFix 手法の変種で、攻撃者制御のウォレットへ資金をリダイレクトしつつ、正当なアービトラージ利益を模倣します。これは暗号資産取引所を標的としたブラウザベースの ClickFix の初の既知事例のようです。
TechRadarの報道によると、infostealerマルウェアがOpenClawのAIエージェントを初めて標的にした。 この事件は、機密情報を保存するローカル展開のAIシステムの脆弱性を浮き彫りにしている。記事は2026年2月17日に公開された。
AIによるレポート
SSHStalkerという新しいLinuxボットネットが、古代のIRCプロトコルを使用してクラウドサーバーを悪用して利益を得ている。自動スキャン、cronジョブ、IRC通信を通じてLinuxサーバーを標的にしている。この運用はコスト削減のため古い手法を復活させている、とTechRadarが報じた。