Glasswormの最大の特徴は、その異常なまでの回復力、すなわち「不死身」性を実現した多チャンネルの指令統制(C2)インフラにあった。運用者は、単一障害点を意図的に排除するため、通信を以下の4つの独立した経路に分散させていた。
この重層的なアーキテクチャこそが、ボットネットを「不死身」たらしめていた核心である。仮に1つや2つの経路を遮断したとしても、残りの経路は完全に機能し続けるため、攻撃者は瞬時に支配力を再構築できてしまうからだ。
このボットネットを無力化する唯一の道は、4つの指令系統すべてに対する「同時攻撃」だった。CrowdStrikeは公式ブログで、この作戦の困難さを率直に述べている。「このアーキテクチャを破壊するには、完璧な精度とタイミングが要求されました。1つのチャンネルを停止させただけでは、他のチャンネルが生き残り、攻撃者はただちに支配を再構築するでしょう。4つのチャンネルすべてを、連携し、同時に遮断しなければならなかったのです」。
2026年5月26日14時(UTC)、連合軍はまさにそれを実行した。この一斉作戦により、ボットネット運用者と、世界中に散らばる感染マシンとの接続が断ち切られたのだ。ただし、これは感染した端末から「GlasswormRAT」マルウェア本体を自動的に除去するものではないことに注意が必要である。この作戦の本質は、攻撃者による新たな指令の発行や、悪意あるペイロードの追加配信を不可能にした点にある
。世界中の未知数のマシンに潜伏したマルウェアという脅威は残存しているが、ボットネットとしての攻撃能力は完全に無力化されたのだ
。
CrowdStrikeの脅威インテリジェンス分析によると、Glasswormの運用者はロシアを拠点とするサイバー犯罪集団に帰属する可能性が高いとされている。このグループがオープンソースのソフトウェアサプライチェーンそのものに狙いを定めた戦略は、エンドユーザー組織を直接攻撃するのではなく、組織が依存する開発者とそのツールを汚染するという、攻撃者の戦術における危険な進化を示している
。
164.92.88[.]210)への通信履歴を捜索すべきである。さらに、ブログ記事で公開されているYARAルールを用いて、感染端末の特定を進めることが重要だ