【要点】
◎Storm-2561は偽VPNサイトで企業認証情報を窃取し、Hyraxなどのマルウェアを配布する攻撃を展開。FortinetやIvantiを装い組織侵害を狙う
【要約】
Storm-2561はFortinetやIvantiなどの正規VPN製品を装った偽サイトへ誘導し、企業のログイン認証情報を窃取するとともに、Hyraxインフォスティーラーなどのマルウェアを配布する攻撃を行う脅威アクターである。盗んだ認証情報は企業ネットワークへの不正侵入に利用され、さらなる内部活動や情報窃取に悪用される。ソーシャルエンジニアリングとブランドなりすましを組み合わせた手口により、企業環境への初期アクセスを効率的に確保する点が特徴とされる。
【ニュース】
■2026年
◇2026年3月
◆Storm-2561 Spreads Trojan VPN Clients via SEO Poisoning to Steal Credentials (The Hacker News, 2026/03/13)
[Storm-2561は、SEOポイズニングを利用してトロイの木馬型VPNクライアントを拡散させ、認証情報を盗み出している]
https://thehackernews.com/2026/03/storm-2561-spreads-trojan-vpn-clients.html
⇒ https://malware-log.hatenablog.com/entry/2026/03/13/000000_4
◆Storm-2561 lures victims to spoofed VPN sites to harvest corporate logins (Security Affairs, 2026/03/14)
[Storm-2561は、被害者を偽装されたVPNサイトに誘導し、企業のログイン情報を盗み出そうとする]
https://securityaffairs.com/189426/cyber-crime/storm-2561-lures-victims-to-spoofed-vpn-sites-to-harvest-corporate-logins.html
⇒ https://malware-log.hatenablog.com/entry/2026/03/14/000000
◆Storm-2561 Uses Fake Fortinet, Ivanti VPN Sites to Drop Hyrax Infostealer (Hack Raed, 2026/03/17)
[Storm-2561は、偽のFortinetおよびIvantiのVPNサイトを利用して、Infostealer「Hyrax」を配布している]
https://hackread.com/storm-2561-fake-fortinet-ivanti-vpn-sites-hyrax-infostealer/
⇒ https://malware-log.hatenablog.com/entry/2026/03/17/000000_2
【検索】
google: Storm-2561
google:news: Storm-2561
google: site:virustotal.com Storm-2561
google: site:github.com Storm-2561
■Bing
https://www.bing.com/search?q=Storm-2561
https://www.bing.com/news/search?q=Storm-2561
https://twitter.com/search?q=%23Storm-2561
https://twitter.com/hashtag/Storm-2561
■VirusTotal
