Microsoftは2026年6月12日(現地時間)、自律型マルウェア分類エージェント「Project Ire」が、既存の主要なエンドポイント検出応答 (EDR) ツールでは未検出だった「LOTUSLITE」マルウェアの新たな亜種を特定したと発表しました。Ireはユーザーの介入なしに機能ごとの挙動レポートを生成し、当該サンプルが悪意のあるものであると判断しました。
Project Ireは、シグネチャベースの検出では見落とされがちな、既存のIndicators of Compromise (IoC) とは異なるLOTUSLITE亜種を発見しました。6月4日時点においても、CrowdStrike Falcon、SentinelOne、Sophos、Trellix、Palo Alto、ESETを含む主要なEDRツールの大部分は、この亜種をマルウェアとしてフラグ付けしていませんでした。
Ireが生成した機能ごとの挙動レポートには、インストールルーチン、C2パケットレイアウト、コマンドID、永続化メカニズム、難読化が含まれており、これらはAcronisが以前公開したLOTUSLITEの分析結果と一致しました。Ireは、起源メタデータ、テレメトリ、アナリストのプロンプトなしに動作し、デコンパイラやバイナリ解析ツールを用いて監査可能な証拠チェーンを構築し、悪意の有無を判断します。
また、Ireはnfapi::nf_unRegisterDriverという関数名を不審と識別しましたが、これが実際のドライバインストールではなくRunキーへの書き込みであることを正確に判断し、LLM駆動分析における誤解を招く可能性のある文字列による判断ミスを回避しました。分析されたサンプルは、ローダー/DLL分割、HTTPS C2、対話型シェル、ディレクトリ列挙、ファイルプリミティブ、チャンクアップロード、HKCU永続化、GoogleおよびMicrosoftサービスを偽装したトラフィックといったLOTUSLITEファミリーの挙動プロファイルと一致しました。当該サンプルにはBelievemeIamMustang-Pandaという脅威アクター名が直接文字列として含まれていましたが、Ireは属性判断を行わず、静的解析に焦点を当てました。
参考: Microsoft Research Blog — 2026年6月13日 05:30 (JST)