設定ファイルが書き換えられている時点で、どうしようもないんだよなぁ。 "[.]NETランタイムは本来アプリの初期化を担うAppDomainManagerとしてそのDLLを先に読み込んで実行するため、アプリ本体の処理が始まる前に攻撃者のコードが先回りで実行されます。"

メモリパッチもシェルコードも不要、[.]NETの設定ファイルにXMLを数行足すだけでEDRの検知回避を狙う手口が、イラン系APTの攻撃キャンペーンで使われていると報告されています。この手法はAppDomainManagerインジェクションと呼ばれ、[.]NETアプリが起動時に自動で読み込む同名のXML設定ファイル（[.]exe[.]config）に、AppDomainManagerとして読み込むDLLを指定する<appDomainManagerAssembly>等のタグを書き加えて悪用します。 攻撃者がこのタグで自作のDLLを指定すると、[.]NETランタイムは本来アプリの初期化を担うAppDomainManagerとしてそのDLLを先に読み込んで実行するため、アプリ本体の処理が始まる前に攻撃者のコードが先回りで実行されます。 特にMiniUpdateと呼ばれる亜種などでは、同じ設定ファイル内に[.]NETランタイムの実行ログの記録を止めるタグや、不正なDLLが読み込まれないようにする署名検証を飛ばすタグも書き足されており、本来EDRに渡るはずの動作ログが残りにくい状態でマルウェアが動き出す構成となっています。 あわせて、攻撃の起点となる初期段階では正規アプリに不正なDLLを横から読み込ませる従来のDLLサイドローディングも使われており、この2手法の組み合わせは同グループでは初確認で、今回のキャンペーンで最も注目される進化点と位置付けられています。 Screening Serpens（別名UNC1549）と呼ばれるイラン系APTグループが2月末の中東紛争に合わせてこの手口を採用し、6つの新たなRATの亜種を米国・イスラエル・UAEなど最大5か国の航空宇宙・防衛・通信分野の技術職を狙って展開したとのことです。 【要点の整理】 ・MiniUpdate（4亜種）とMiniJunk V2（2亜種）の2系統で構成。C2ドメインは標的ごとに3〜5個を個別に割り当て、主にAzure上でホストして正規通信に紛れ込ませる運用。 ・スピアフィッシングではジョブID入りの偽求人PDFを同梱して技術職への応募と思わせる手口や、正規のビデオ会議リンクで信頼を築いたとみられるやり取りののち偽ドメインへ誘導し、不正なインストーラーを実行させる手順が確認されている。 ・MiniJunk V2は無意味な文字列を大量に埋め込んでバイナリを約12MBに肥大化させ、自動解析環境（サンドボックス）のサイズ制限を回避。同系統の3月の亜種にはハードコードされた実行開始日時（2026年3月27日13:30UTC以降）が設定されており、解析環境での早期実行を阻む設計とのこと。 対策としては、IoCに頼るだけでなく、信頼された正規プログラムが検証されていないDLLを読み込む挙動を高リスクの振る舞いとして検知ルールに組み込むことが推奨されています。 なお、冒頭で触れたAppDomainManagerインジェクションは2017年にCasey Smith氏がPoCを公開した手法で、実戦投入例としては2022〜2023年に観測されたイラン系APTマルウェア「IMAPLoader」が知られ、2024年3月にはMITRE ATT&CKがT1574.014として正式登録、近年もAPTでの観測例が複数報告されています。 詳細は以下を参照： unit42.paloaltonetworks.com/…

Iran-nexus APT Screening Serpens (aka UNC1549, Smoke Sandstorm) is deploying novel RAT variants in espionage campaigns targeting entities in the U.S., Israel and the UAE. These campaigns use AppDomainManager hijacking. Read our analysis for details: bit.ly/4dYHBQk

Unit 42 reported that Screening Serpens used AppDomainManager hijacking and new RAT variants to target tech and defense sectors in its 2026 espionage campaigns. unit42.paloaltonetworks.com/…

Iranian 🇮🇷 APT Screening Serpens deploys AppDomainManager hijacking technique with new RAT variants targeting tech and defense sectors in 2026 campaigns. Unit 42 analysis reveals updated TTPs. #DFIR_Radar

Last week, @CyfirmaR reported a new operation dubbed #PhantomCLR, which utilizes a sophisticated .NET loader that abuses AppDomainManager hijacking. Despite heavy obfuscation and garbage code, our code-similarity engine identified that this loader is actually an upgraded variant of the .NET loader reported by @TrellixARC in June 2025 as part of a red-team engagement. Both variants share core mechanisms, including a JIT-trampoline shellcode executor, brute-force IV derivation loop, char-swap preprocessor for payload decryption, and a prime-sieve sandbox gate. However, the new variant upgrades string decryption to base64 XOR, adds a GZip decompression layer over the payload, and refines the JIT-trampoline execution to be stealthier by removing a hardcoded byte sequence in favor of direct delegate invocation. This technical evolution is paired with an expanding target landscape. Trellix originally observed the loader targeting the oil and gas sectors, while Cyfirma’s recent sample utilized a Saudi Ministry of Finance lure. By retrohunting for this threat, we uncovered additional campaigns from late last year featuring Gulf-themed lures. The fact that this framework remained actively deployed for 10 months following the initial Trellix disclosure strongly suggests we are looking at an operator serving multiple Gulf clients on an ongoing basis, rather than a single, isolated red-team engagement. 🧬 We’ve crafted a #YARA rule based on the shared code. Find the rule and #IOCs here: github.com/threatray/threat-…

[.]NETアプリ起動時に読み込まれる管理クラス（AppDomainManager）を差し替える手口で、正規署名済みのIntel製ユーティリティ「IAStorHelp[.]exe」を乗っ取り、悪性コードを実行させる多段攻撃「Operation_PhantomCLR」が報告されています。耐解析機構が特に手が込んでおり、サンドボックスに検出・スキップされやすいThread[.]SleepやTask[.]Delayは使わず、60秒のタイミングゲート内で上限7,300,172までの素数篩を走らせ、さらに0〜892,007の整数シードから都度SHA-256でハッシュを取り、16文字に切り詰めてAES-128鍵候補を生成し、試行復号したプレフィックスをマジックストリング「Occidentalism」と照合して正解鍵に当たるまで繰り返す制約付き鍵導出ループを回すことで、ペイロード復号を行いつつ自動解析環境の解析時間を使い切らせる設計になっています。 C2通信はAmazon_CloudFront（CDNリダイレクタ）を前段に、AWS_Elastic_Load_Balancing配下のバックエンドを後段に置く二段構成で正規クラウド通信に紛れ込ませ、HTTPSドメインフロンティングも併用されています。 加えて、EDRの監視ログをノイズで埋める16個のDLLのランダム順LoadLibrary呼び出し（DLL injection storm）や、メモリアーティファクトの消去まで組み合わせる構成とされています。 【攻撃の流れと技術要素】 ・侵入口はサウジアラビア政府省庁の在宅勤務ポリシーを装うWindowsショートカット（LNK）で、ZIP内にはCLR設定ファイル（IAStorHelp[.]exe[.]config）、悪性[.]NET DLL（IAStorHelpMosquitoproof[.]dll）、AES暗号化ペイロード（setting[.]yml）、アラビア語の囮PDFが同梱。 ・正規EXE横に悪性[.]configを置き、[.]NET CLRが起動時に同名の[.]configを自動読込する挙動を悪用してAppDomainManager設定から悪性[.]NET DLLを読み込ませ、[.]NET起動時のクラスを差し替えて制御を奪う流れ。 ・ディスクに書かずメモリ上でDLLを展開するリフレクティブDLLロードと、[.]NETの動的アセンブリ生成でJITコンパイル済みの実行可能メモリ領域をシェルコードで上書きし関数ポインタ経由で実行するJITトランポリン手法によるインメモリ実行が確認されたとのこと。攻撃技法はCobalt_Strike／Brute_Ratel_C4／NightHawk級と評されているものの直接的な帰属証拠は示されていない。 ・ユーザーランド側のAPIフック監視を迂回するため、NTDLLのsyscall命令を直接呼び出す直接システムコールや、NtProtectVirtualMemory／NtFreeVirtualMemoryを用いたメモリアーティファクト消去の二段階アンチフォレンジックを使用。加えて、PEB経由でのモジュール解決や動的API解決テーブル、クラッシュ時にヒープを走査して実行コンテキストを復元する回復機構なども実装。 標的は中東およびEMEA地域の政府・金融セクターとされ、正規署名バイナリの活用・[.]NETインメモリ実行・多層サンドボックス回避を重ねた構成で、攻撃技法の重要な進化と評されています。侵害を受けた場合は完全侵害として扱うべきとの提言も添えられています。 詳細は以下を参照： cyfirma.com/research/operati…

Operation #PhantomCLR. #CYFIRMAresearch uncovers a highly sophisticated post-exploitation framework. The campaign leverages .NET #AppDomainManager #hijacking to abuse a legitimate, digitally signed Intel binary (IAStorHelp.exe), transforming it into a stealthy execution container without modifying the original file. This allows malicious code to execute within a trusted environment, effectively bypassing traditional EDR and antivirus defenses. Overall, this #APT-grade framework highlights the growing trend of trusted binary abuse and fileless, in-memory execution. #ThreatIntelligence #MalwareAnalysis #CyberSecurity #ThreatHunting #MemoryForensics #CYFIRMA cyfirma.com/research/operati…

🚨 نشاط اختراق يستهدف السعودية 🇸🇦 عبر الهندسة الاجتماعية 🔹 يعتمد الهجوم على: • ملف ينتحل صفة وزارة المالية السعودية • استخدام عنوان: Work From Home Policy Update لخداع الضحية 🔹 التقنية المستخدمة: • AppDomainManager Hijacking • تحميل DLL خبيث عن بُعد داخل بيئة .NET 🔹 مؤشرات (IOCs): • Work[.]zip • 85cd2aa498a943d4c07ce75d30f6e68d • Work From Home Policy Update.pdf.lnk • 30f33d89b80c4bf1dc37435d4dc9961a • IAStorHelpMosquitoproof.dll • 51d0d1482d0e034b3ef2ee6fc83719a4 🔹المصدر: @h2jazi

#APT activity submitted from Saudi Arabia Lure: A document impersonating the Ministry of Finance Technique: AppDomainManager hijacking to load a remote malicious DLL IOCs: Work .zip 85cd2aa498a943d4c07ce75d30f6e68d

#OpSec #Red_Team_Tactics 1⃣. Initial Access. The Art of Getting In 0xdbgman.github.io/posts/ini… // Payload Development (DLL Sideloading, Shellcode Loaders, Syscalls), HTML Smuggling, Phishing (QR Code Quishing, Teams Phishing), AitM/MFA Bypass (Evilginx, Device Code Phishing), Psw Spraying, Exploiting Public-Facing Apps, Vishing, Physical Access (Rubber Ducky, Bash Bunny), Supply Chain attacks with real-world APT case studies 2⃣. Red Team Infrastructure. The Full Picture: From Domain to Beacon 0xdbgman.github.io/posts/red… // C2 Frameworks, Redirectors, CDN Relays (Azure, AWS, GCP), Serverless Lambda, Cloudflare Tunnels, Phishing Infrastructure, Mail Servers, Malleable Profiles, and full OPSEC hardening 3⃣. Persistence: The Art of Staying In 0xdbgman.github.io/posts/per… // 50 techniques across Windows, Scheduled Tasks, WMI, Services, DLL/COM/AppDomainManager, UEFI Bootkits, Active Directory, Linux, macOS, and Cloud (Azure/AWS/GCP, Kubernetes)

#exploit #AppSec 1⃣. CVE-2026-25506: Pwning Supercomputers - A 20yo vulnerability in Munge blog.lexfo.fr/munge-heap-buf… // Exploitation involved heap spraying, tcache poisoning, and crafting fake chunks to leak internal addresses and ultimately retrieve the Munge secret key 2⃣. ClickOnce AppDomainManager Injection ProxyBlob SOCKS5 -> Initial Access github.com/dazzyddos/ClickOn… // It automates the process of patching, compiling, and manifest updating, allowing attackers to embed malicious DLLs into legitimate, signed ClickOnce apps without breaking their signatures or raising suspicion 3⃣. CVE-2025-59793: From Pre-Auth SSRF to RCE in TRUfusion Enterprise rcesecurity.com/2026/02/when… // Exploit chains the path traversal with the previously described SSRF (CVE-2025-32355)

Currently watching #TradecraftTuesday covering AppDomainManager Injection by @_subTee and @_JohnHammond

Coming up on #TradecraftTuesday, we're breaking down AppDomainManager Injection, a technique cybercriminals are using to turn legit .NET binaries into "living-off-the-land" weapons. 👀 Join us live next week to see exactly how it works: okt.to/rhWcDs

Looking forward to this! On February 10, where @_subTee and @_JohnHammond will be breaking down AppDomainManager Injection in the next Tradecraft Tuesday 👾 → How attackers abuse AppDomainManager to load payloads → Where this shows up in real incidents → What mitigations actually work cc @HuntressLabs

China-aligned “LongNosedGoblin” is quietly spying on govt networks in SE Asia & Japan. They weaponise Windows Group Policy to auto-push malware across entire domains. Custom C#/.NET tools steal browser data, log keystrokes, and run shell commands. The NosyDoor backdoor phones home via OneDrive, Google Drive, even Yandex Disk. Payloads run in-memory, use AppDomainManager injection, and include victim-only guardrails. Add SOCKS5 proxying, A/V capture, and Cobalt Strike loaders, this is real espionage tradecraft. #windows #infosec #cybersecurity #spy #CyberEspionage

A few resources on neat .NET hooking for this would be: github.com/Elliesaur/TinyJit… MS Fakes for shims in .NET learn.microsoft.com/en-us/vi… AppDomainManager for hooking .NET github.com/tandasat/DotNetHo… NGEN GAC blog.bonggeek.com/2013/12/ne… old school .NET Hooking learn.microsoft.com/en-us/ar… And finally injecting into the GAC (Global Assembly Cache Tool) via Gacutil.exe is a good one learn.microsoft.com/en-us/pr…

🚩 SesameOp Backdoor Uses OpenAI Assistants API for Covert Command & Control esecurityplanet.com/threats/… Microsoft’s DART uncovered a novel backdoor that leverages the OpenAI Assistants API as its C2 channel, fetching encrypted commands and returning execution results via legitimate-looking API calls. The chain includes a loader (Netapi64.dll) using .NET AppDomainManager injection and a backdoor (OpenAIAgent.Netapi64) built to persist stealthily. #CyberSecurity #ThreatHunting #Malware

Weaponizing Trust: ClickOnce Deployment with AppDomainManager Injection malcrove.com/weaponizing-tru…

Microsoftが新たに報告、OpenAI Assistants APIをC2として悪用するバックドアSesameOpが発見された。正規APIを中継に使い、暗号化コマンドを受信・実行して結果を返す高度なステルス型攻撃である。 調査で発見された侵害は数か月に及び、内部ウェブシェルや改変されたVisual Studioユーティリティを組み合わせ、AppDomainManager注入によりNetapi64.dllローダーを実行して永続化していた。DLLは難読化され、Assistants APIのメッセージ説明欄をC2ストアとして利用することでSLEEP／Payload／Resultの指示で待機、ペイロード実行、結果送信を行っていた。Microsoftは関連APIキーを無効化した。正規API悪用は検知回避の新傾向である。 thehackernews.com/2025/11/mi…