パッカー(packer)とはパック(pack)する人、つまり梱包する人や荷造りする人、リュックサックを背負ったハイカーなどを指す時に使われることが多いと思いますが、サイバーセキュリティの世界におけるパッカーはかなり様相が異なるようです。
昨年2月に販売を開始したHeatCrypt
1年前に公開されたUnit42のブログはHeatCryptというパッカー・アズ・ア・サービス(PaaS)について解説しています。アズ・ア・サービスつまりサービスとしての○○と言った時は大体、ランサムウェアであったり最近では恐喝(Extortion)やフィッシング、マルウェアなどについても同様の使われ方が散見されます。これらはいずれも商売としてサービスを提供していることを意味します。ランサムウェア・アズ・ア・サービス(RaaS)と言えばランサムウェアを商売として提供している、マルウェア・アズ・ア・サービス(MaaS)と言えばマルウェアを商売として提供しているといった具合です。商売といってもこれはサイバー犯罪におけるビジネスのことですから、これらサービスの提供元やユーザーはサイバー犯罪者たちです。
アズ・ア・サービスの種類が増えれば増えるほどサイバー犯罪は分業化され、かつビジネス化している状況を表しています。パッカー・アズ・ア・サービス(PaaS)つまりサービスとしてのパッカーの提供というのはどういうことなのでしょうか? Unit42によるとPaaSであるHeatCryptは2023年7月から開発が進められ2024年2月に販売が開始され、アンダーグラウンドフォーラムやテレグラムで宣伝されてきたということです。そしてHeatCryptの主要な顧客はLummaStealerやRemcos、Rhadamanthysなどを利用するマルウェアオペレーターだということです。LummaStealerとRhadamanthysは情報窃取型マルウェア、Remcosはリモートアクセス型トロイの木馬(RAT)です。LummaStealerやRemcos、Rhadamanthysを使う際にHeatCryptは役に立つからこそ、それらマルウェアオペレーターはHeatCryptを金銭を払ってでも使い、そのことによってPaaSが成立しているということになります。
EDRキラーを備えているShanya
ではPaaSはマルウェアオペ―レーターにとってどのような魅力があるのでしょうか? Unit42によると、顧客であるマルウェアオペ―レーターがテレグラムなどを使ってPaaSの販売者にマルウェアを送ると、マルウェアはパックされて新しいバイナリとして返送されてくるということです。つまり送ったマルウェアが梱包されて戻ってくるということです。ゆえにこのサービスはパッカー・アズ・ア・サービス(PaaS)と呼ばれているのです。マルウェアを梱包することにどんな意味があるのかというと、マルウェアを隠し発見されにくくし、サイバーセキュリティの網にかかることなく攻撃を実行することが可能になることが期待されているのです。ゆえに高度なPaaSはサイバー犯罪者に非常に人気があるようです。
「パッカーの難読化技術は、PIC、多層エンコード、リソースベースの実行を組み合わせることで、解析を著しく困難にします。HeartCryptのPaaSモデルは、様々なアンダーグラウンドフォーラムで販売されており、マルウェア運営者の参入障壁を下げ、感染量と成功率を高めています」とUuit42は指摘しています。
そしてソフォスの最近のレポートによると、新たにShanyaというロシア西部の川の名前がついたPaaSが最近登場してHeatCryptの「市場」を奪いつつあるということです。ソフォスによるとShanyaはEDRキラーの機能を備えており、このEDRキラーの最初の展開は2025年4月末ころにMedusaの攻撃で確認されているということです。以降、複数のランサムウェア攻撃で使用されており、もっとも頻繁に使用しているのはAkiraですが、QilinやCrytoxでも使われているということです。
【出典】
https://unit42.paloaltonetworks.com/packer-as-a-service-heartcrypt-malware/
https://news.sophos.com/en-us/2025/12/06/inside-shanya-a-packer-as-a-service-fueling-modern-attacks/