Microsoft Ire、シグネチャ外のLOTUSLITE変種を1回の解析で悪性判定

既知のIOCから外れたマルウェア変種を、LLM駆動の解析agentが行動ベースで捕まえた。Microsoft Researchが2026年6月12日に公開した事例では、Project IreがLOTUSLITE系のWindows DLLバックドアを事前情報なしで解析し、主要EDRの多くが見逃していた検体に悪性判定を出した。

Microsoft Researchの記事によると、対象はSHA-256 47e51e82229e80a387c3cb100d39d3705e6360bbf9bfa1601dbc484e8d02e653の253 KB PE DLLだ。5月28日にVirusTotalで確認した時点では72ベンダー中1社だけが検知し、6月4日でも70社中7社にとどまった。CrowdStrike Falcon、SentinelOne、Sophos、Trellix、Palo Alto、ESETはその時点でも悪性として検知していなかったという。

Ireのポイントは、ハッシュや文字列を当てたことではない。decompilerとバイナリ解析ツールを使い、関数ごとの役割、インストール処理、C2パケットレイアウト、command ID、HKCU Run keyによる永続化、難読化の手がかりをまとめた。Microsoftはその出力をAcronisが公開済みのLOTUSLITE分析と比較し、表層の名前やパスは違っても、loader/DLL分離、HTTPS C2、custom binary protocol、interactive shell、directory enumeration、chunked uploadといった行動が同じ系統に重なると説明している。

もう一つ重要なのは、検体内のBelievemeIamMustang-Pandaという露骨な文字列をそのまま帰属判断に使わなかった点だ。AcronisはインフラとTTPの重なりからLOTUSLITEをMustang Pandaに中程度の信頼度で結び付けていたが、Microsoftはこの検体について独自の帰属判断を避けた。文字列は証拠にも、ノイズにも、LLM解析を誘導する罠にもなり得るためだ。

防御側にとっての意味は、AIがマルウェア分析を完全に置き換えるという話ではない。むしろ新しい変種が既存のIOCリストをすり抜ける局面で、行動証拠を短時間で集め、人間が検証できる監査可能なレポートに変換する補助線が強くなる。検知ベンダーの反応が遅れる数日間では、この差が初動対応の質を左右する。