🎮

海賊版アダルトゲームに仕込まれたマルウェアの話(観測レポート)

に公開
Security
Game
Steam
malware
tech

はじめに

マルウェアサンドボックスサービス「Triage」で検体を漁っていたところ、面白いサンプルを発見しました。日本のユーザーがANY.RUNに提出していた検体で、Steamで販売されているアダルトビジュアルノベルゲームの海賊版にマルウェアが同梱されていたケースです。

技術的には特筆するほど高度ではないのですが、ソーシャルエンジニアリングの観点から「なるほどな」と思わされる点がいくつかあったので、観測レポートとして共有します。

検体概要

項目
ファイル名 femdom-first-timers.exe.exe
SHA256 CB16AB1F1E8365B9B6149C421EC33C9DAC7D8D3819B56DFFDFDF6E9A010888F8
サイズ 2.4MB
VirusTotal 46/76検出
分類 Trojan / Dropper(Advanced Installer製)

元となったゲーム「Femdom First Timers」は、Lune-soft開発・Cherry Kiss Games発売のビジュアルノベルで、2026年2月20日にSteamで正規リリースされたタイトルです。

アーカイブの構造

検体は710MBのRARアーカイブとして配布されていました。中身を見てみましょう。

Femdom_First_Timers.7z (実際はRAR5, 710MB)
├── femdom-first-timers.exe.exe  ← 🔴 マルウェア (2.4MB)
├── femdom-first-timers.py       ← 正規Ren'Pyランチャー
├── femdom-first-timers.sh       ← 正規Ren'Pyランチャー(Linux用)
├── README.md
└── Game/
     ├── archive-FILES.7z         ← ゲーム本体(Ren'Pyエンジン一式)
     ├── archive.rpa
     ├── gui_resource.rpa
     ├── LICENSE.txt (Ren'Py MITライセンス)
     └── [Ren'Pyスクリプト群...]

ここで注目すべき点は2つあります。

1つ目:本物のゲームが丸ごと入っている

アーカイブ内にはRen'Pyエンジン一式と正規の実行ファイルが含まれており、Ren'Pyのログからビルド日がSteam発売日(2026-02-20)と一致していることから、Steamの正規品をそのまま流用していることが確認できます。

2つ目:正規EXEとマルウェアEXEが並置されている

展開後のディレクトリには、正規のRen'Pyランチャーとマルウェア(femdom-first-timers.exe.exe、二重拡張子)の2つのEXEが存在します。

ここからは、あるユーザーの視点で

被害者の導線

掲示板やDiscordで海賊版リンクを見つけたユーザーは、アーカイブを展開し、.pyファイルやGameフォルダが並ぶ「それっぽい」ディレクトリ構造を見て安心します。


※イメージ: Windowsのデフォルト設定(拡張子非表示)での表示

Windowsのデフォルト設定では拡張子が非表示のため、2つのEXEが同じ名前に見えます。サイズの大きい方が「本体」に見えるため、マルウェア側を実行してしまう——これが攻撃者の狙いです。

感染


※イメージ: 実行直後の画面

実行すると、Advanced Installerで作られた見た目それっぽいインストーラーUIが表示されます。「ゲームをインストールしています...」という進捗バーが動いている裏で、マルウェアは以下の処理を行います。

※イメージ: インストール中の画面

  1. ゲーム本体のインストール(デコイとして正規ゲームを配置)
  2. PowerShellがバックグラウンドで起動
  3. BunnyCDN(main45.b-cdn.net)からMicrosoftEdgeUpdateTaskMachineCoreB.msiをダウンロード
  4. MSIをサイレントインストール(msiexec.exe /qn /norestart
  5. C:\ProgramData\Microsoft\NetFramework\olecli32ba_Win.dll がドロップされる
  6. rundll32.exe 経由でDLLが実行される — SectopRATの起動

「MicrosoftEdgeUpdate」という名前で、あたかもEdgeブラウザのアップデートコンポーネントのように偽装しています。タスクマネージャーを見てもrundll32.exeが動いているだけで、一般ユーザーには気づけません。

何が盗まれるのか

SectopRATは2019年に初めて観測されたRAT(Remote Access Trojan)で、以下の情報を窃取します。

  • ブラウザの保存パスワード — Chromeが--no-sandboxオプション付きで起動され、保存された認証情報が抜かれる
  • 暗号通貨ウォレット — ウォレットファイルへのアクセスが確認されている
  • インストール済みソフトウェア一覧 — レジストリから列挙
  • 接続ドライブ情報 — 外付けHDDやUSBメモリを含む全ドライブをスキャン

窃取したデータは 179.61.145.140:9000 に送信されます。

さらに興味深いのは、users.cherrykiss.club:6000 というAPIへの通信が確認されている点です。Cherry Kiss Gamesの正規ドメインは cherrykissgames.com であり、cherrykiss.club は検索エンジンにもインデックスされていない別ドメインです。ゲーム発売元の名前に似せた攻撃者のインフラである可能性が高く、感染数の管理に使われていると推測されます。(※あくまで推測)

その後


※イメージ: インストール完了の画面
一見インストールが正常に完了したように見えますが、バックグラウンドではSectopRATがrundll32.exeとして静かに動き続けています。ブラウザに保存したパスワード、暗号通貨ウォレット、その他の情報が、あなたの知らないうちに海外のサーバーに送られています。

おわりに

技術分析の所感

Ghidra静的解析の結果、インストーラー本体は以下の特徴を持っていました。

  • ネイティブx86 PE(VTはMSILZillaと判定していましたが、実際は.NETではありません)
  • Advanced Installer(Caphyon) で構築
  • 579個のAPI imports、34個の不審API(VirtualAlloc, CreateProcessW, InternetOpenW等)
  • ビルドパスの漏洩:C:\JobRelease\stubs\setup\eventsystem\MsiBaseInstaller.cpp

正規ゲームのコードには一切手を加えず、マルウェアのEXEを横に置いただけ。攻撃コストは極めて低い。

Triageのサンドボックスの動的解析で、Stage 2の全容も判明しました。

インストーラー実行
  → PowerShell → BunnyCDN(main45.b-cdn.net)からMSIダウンロード
    → msiexec.exeでサイレントインストール
      → rundll32.exeでSectopRAT DLL実行
        → C2通信 (179.61.145.140:9000)
        → Chrome --no-sandbox で認証情報窃取

正規のWindowsバイナリ(msiexec.exerundll32.exe)を連鎖させるLiving Off the Land手法と、BunnyCDNという正規CDNサービスをペイロードホスティングに悪用する点は、インストーラー自体の「雑さ」とは対照的に洗練されています。

ソーシャルエンジニアリングとしての巧みさ

技術的には雑ですが、ソーシャルエンジニアリングとしては理にかなっています。

本物のゲームを同梱する理由:

  • torrentやフォーラムで「動いたよ」というレビューが付く
  • 次のユーザーがそのレビューを見て安心してダウンロードする
  • 710MBのアーカイブサイズが「本物のゲームが入っている」感を演出する(マルウェア自体は2.4MB、残りは正規ゲームファイル)

被害者が声を上げにくい構造:

  • 海賊版のダウンロード自体が違法行為
  • アダルトゲームなので更に言いにくい
  • 「クラック版だからウイルス対策ソフトが誤検知してるんだろう」と警告を無視しがち

結論

海賊版をダウンロードしている時点で自業自得なので、ちゃんと正規版を買いましょう。

当然のことですが、有料版で提供されているのならお金を払ってプレイするべきです。
Steamで数千円のゲームを買うか、マルウェアに感染するリスクを取るか。コスパで考えれば正規品を買う方が圧倒的に安いですね。

今回はゲームでしたが、Adobe製品やOffice製品のクラック版として公開されているようなツールにマルウェアが同梱されているパターンもあります。

攻撃手法としては「フォルダに別のEXEを追加しただけ」という非常に雑なソーシャルエンジニアリングですが、その裏側ではBunnyCDNによるペイロードホスティング、Microsoft Edge Updateへの偽装、rundll32.exeによるLiving Off the Land実行、そして正規ドメイン(cherrykissgames.com)に似せたcherrykiss.clubでの感染追跡APIと、インフラ面はそれなりに作り込まれています。

入口は雑でも中身は本格的。ターゲット層(海賊版を求めるユーザー)のリテラシーを考えると、入口の雑さで十分に機能するのでしょう。

IOC

# Malware Installer (Stage 0)
SHA256: CB16AB1F1E8365B9B6149C421EC33C9DAC7D8D3819B56DFFDFDF6E9A010888F8

# SectopRAT DLL
Path: C:\ProgramData\Microsoft\NetFramework\olecli32ba_Win.dll
Execution: rundll32.exe olecli32ba_Win.dll, ApiNet

# C2 / Infrastructure
179.61.145.140:9000           # SectopRAT C2
main45.b-cdn.net              # ペイロードホスティング (BunnyCDN)
users.cherrykiss.club:6000    # 感染追跡API(正規ドメインcherrykissgames.comとは別物)
dns-providersa2.com           # チェックイン

# URLs
https://main45.b-cdn.net/new26/MicrosoftEdgeUpdateTaskMachineCoreB.msi
http://179.61.145.140:9000/wmglb
http://users.cherrykiss.club:6000/api/getOne/699b742891faeed3cb59ca2a

参考

Discussion