Cato CTRL™脅威リサーチ:Nytheon AI ― 検閲解除LLMを束ねる新たなプラットフォーム
要旨
2023年に WormGPT が登場して以来、脅威アクターは検閲が解除された大規模言語モデル(LLM)を悪用してきました。同年に WormGPT が閉鎖された後も、BlackHatGPT、FraudGPT、GhostGPT など数多くの代替サービスが登場し、主に Telegram のチャンネルで流通しています。
しかし攻撃者たちは、単一の脱獄モデルでは十分ではないとすぐに気づきました。本当に必要だったのは、検閲を取り払った LLM を包括的に揃えたエンドツーエンドのプラットフォームだったのです。基盤モデルをゼロから訓練するには数千万ドル単位のコストがかかるため、彼らは無償で利用可能なチェックポイントを活用し、安全ガードレールを取り外して独自のインターフェースを被せる手法に移行しました。Meta や DeepSeek のように、さまざまな企業がオープンソースの LLM を開発・公開しており、脅威アクターはそれらを流用・改良して保護機構を除去し、自前のChatGPT風インターフェースを構築することができるのです。
最近、Cato CTRL は Tor 上で「Nytheon AI」と呼ばれる新たなプラットフォームを観測しました。これは複数の技術と LLM 脱獄手法を組み合わせ、悪意ある活動を支援する「検閲解除済み LLM 群」を提供しています。
Nytheon AI プラットフォームには以下が含まれます:
- Nytheon Coder / Nytheon Coder R1:コード生成
- Nytheon GMA:文書要約と翻訳
- Nytheon Vision:画像からテキストへの変換
- Nytheon AI:制御モデル
以下に、Nytheon AI プラットフォームの概要、更新履歴、アーキテクチャ、および運営者の推定像をまとめます。Cato CTRL は高い確信度をもって、運営者の一人が旧ソ連圏出身のロシア語話者であると評価しています。
図1.Nytheon AI ウエッブページ
技術概要
プラットフォーム概要
このサービスは Tor 上で運営されており、アクセス先は以下のアドレスです:
hxxp://n73rbw4eku3d5pgwqtb5fbat6ilkmqknajn2i5qdzuf4ze3soggphyyd[.]onion
インターフェースは Anthropic Claude、DeepSeek、Google Gemini、Microsoft Copilot、OpenAI ChatGPT など主要なチャット型 LLM に酷似しています。
図2.「XSS」上で紹介されたNytheon AI
このサービスは多数の Telegram チャンネルや、ロシアの有名なハッキングフォーラム「XSS」上でも紹介されていました。
図3.Nytheon AIのユーザーインターフェイス
利用者は複数のモデルから自由に選ぶことができます。
我々はコードレビュー、ネットワークトラフィック分析、ウェブ偵察手法、脅威インテリジェンスを駆使して、Nytheon AI プラットフォームの背後技術を特定しました。
Nytheon AI プラットフォームの全体像
図4.Nytheon AI プラットフォーム
Nytheon AI は単一の万能モデルに依存しているわけではありません。運営者は複数のオープンソースチェックポイントを収集し、それぞれを GGUF(GPT-Generated Unified Format)形式に変換。さらに Ollama に登録し、ワンクリックでデプロイ可能な状態にしています。
最上位には Nytheon Coder が配置されています。これは Meta の Llama 3.2 を基にした 184 億パラメータの MoE(mixture of experts)モデルで、Llama 系モデルに期待される流暢さを保ちながら、創造的なテキスト生成で高いスループットを発揮します。Hugging Face 上のスラッグ名「Dark-Champion Instruct Uncensored」が示す通り、長文かつ制約のないコンテンツ生成を狙ったモデルです。
この強力な生成モデルを補完するのが Nytheon GMA です。これは Google の Gemma 3 をベースにした 43 億パラメータの派生モデルで、規模こそ小さいものの、128kトークンの処理能力と優れた多言語対応を持ち、Nytheon AI プラットフォームでは文書要約や翻訳の主力を担っています。視覚的タスクについては Nytheon Vision が用意されています。これは Llama 3.2-Vision をベースにした 98 億パラメータのチェックポイントで、スクリーンショット、フィッシングキット、スキャン文書などをチャットインターフェース上で直接解析することができます。
推論の深さが必要な場面では Nytheon R1 が使われます。これはコミュニティ発の「RekaFlash 3」系統から派生した 209 億パラメータのモデルで、段階的なロジックや数学的精度に優れ、追加データセット「NEO Imatrix」によってさらに強化されています。コード生成用途向けには Nytheon Coder R1 が用意されており、これは Alibaba Cloud の Qwen2 をベースにした 18 億パラメータの派生モデルです。LiveCodeBench や蒸留データで学習され、ゲーミング GPU 上で動作可能なほど小型ながら、テンプレートエクスプロイトや簡易スクリプト生成には十分な能力を持っています。
図5.バックエンドから取得した Nytheon AI モデルデータ
最後に Nytheon AI と呼ばれる 38 億パラメータのフル精度(F16)Llama-Instruct モデルが存在します。これはほとんど手が加えられておらず、制御用モデルとして利用され、正当性を装うためにポリシーに準拠した応答を返します。一方で、残り5つのモデルはすべて共通の 1,000 トークンのシステムプロンプトを共有しており、そのプロンプトは安全レイヤーを無効化し、罵倒語を許容し、違法なリクエストにも従うよう明示しています。つまり、外部からの脱獄は不要で、初回から不正コンテンツを生成できる状態になっているのです。
総合すると、Nytheon AI は創造的テキスト、多言語チャット、画像解析、深い論理推論、コード生成をすべて網羅し、それらを共通の脱獄プロンプトで統一しています。技術的な新規性はモデル自体ではなく、適切なオープンソースモデルを選び出し、量子化して汎用ハードウェアで動かせるようにし、単一のポリシー無効化ラッパーでまとめた点にあります。防御側にとっての脅威は、まさにこの広範さ、移植性、即時非準拠性の組み合わせにあります。Nytheon AI は単なる寄せ集めの GPT クローンではなく、完全に整備された不正AIプラットフォームに仕上がっているのです。
2025 Cato CTRL™ Threat Report | Download the reportNytheon AI プラットフォーム 変更履歴の概要
バージョン 0.6.1 から 0.6.5 の更新履歴は、まるで「汎用 GenAI-as-a-service ハブ」のロードマップのようです。各更新で、Nytheon AI プラットフォームが取り込めるデータの種類や、モデルが処理後に実行できるアクションが拡張されてきました。
図6:Nytheon AI 変更履歴
1 — マルチモーダル入力の強化:
v0.6.1 で Mistral OCR (optical character recognition) を導入し、スクリーンショットやスキャンPDFを直接 RAG (Retrieval-Augmented Generation) フローに取り込めるようにしました。 さらに2バージョン後には、Azure AI の音声認識や OpenAI Realtime API の詳細な VAD(Voice Activity Detection)を統合。音声・画像・テキストをワンクリックでトークン化し、検閲解除モデルに流せるようになりました。
2 — 外部ツール実行機能:
v0.6.1 で外部ツールサーバを追加し、v0.6.3 では YAML/OpenAPI の取り込みや認証ヘッダの修正を実装。利用者は任意の OpenAPI スペック(ドメイン登録や SMS スパム送信など)を指定すると、チャット画面上でボタンとして利用可能になります。居住モデルのうち5つは「常に従う」よう設定されているため、悪意あるコンテンツ生成と即時実行が単一プロンプトで可能になります。
3 — ナレッジの即時再インデックス化:
v0.6.3 で管理者用の「Re-index Now」ボタンを追加。埋め込みを変更したりモデルを差し替えたりした際、コマンドラインを触らずにベクトルストアを再構築できるようになりました。これにより、窃取データを数分で検索可能にできます。
4 — 企業向けの外観と不正なコア:
デル層では安全性が剥ぎ取られている一方で、フロントエンドは PKCE 対応 OIDC、LDAP 修正、プライベートリソース設定、翻訳機能改善といった「企業的機能」を備えています。これにより、Nytheon AI は正規のファイアウォール内サービスのように見え、無自覚な組織が試用してしまうリスクを高めます。
5 — 高速リリースと拡大する攻撃面:
9日間で5回のマイナーリリースを行い、2度のバックエンドリファクタ、複数の依存関係アップデート(Chroma DB、pgvector、Azure Identity など)、ウェブ・音声・ツール処理の修正を繰り返しました。これは開発が活発である一方、常に exploitable なバグが存在することを意味し、Nytheon AI 自体が攻撃対象となる可能性を示しています。
総括Nytheon AI のバックエンドは、オープンソースの「検閲解除モデル群」をマルチモーダルかつアクション可能な生産ラインに変換しています。音声・画像・テキストを入力し、脱獄済み LLM で処理し、外部 API を呼び出す ― この流れをユーザーフレンドリーなインターフェースで実現しているのです。防御側にとっての教訓は明らかです。モデルを封じるだけでは不十分で、周辺のオーケストレーション層も同等に脅威として認識し、対策を講じる必要があります。
Nytheon AI プラットフォームのアーキテクチャ概要
内部構造として、Nytheon は SvelteKit ベースの SPA(TypeScript + Vite) で構築されており、バックエンドには FastAPI 風の実装が採用されています。いわゆる場当たり的なダークウェブサイトではなく、現代的な SaaS エンジニアリングの特徴を備えています。UI ロジックはモジュール化された .svelte コンポーネント(例:AddServerModal.svelte、NotificationToast.svelte)に収められ、ファイル処理といったクライアント側の重いタスクは Web Worker(KooreoWorker.ts)が担当しています。ビルド成果物は Vite のハッシュ付き _app/immutable ディレクトリに配置されており、モダンなツリーシェイキングやホットリロードツールチェーンを活用していることが確認できます。
図7:Nytheon AI のクライアントサイド構造
クライアント側では、アプリが $app/environment を参照して開発環境と本番環境を判別し、ベース URL を動的に構築します。全ての通信は /api/… に公開された REST レイヤーを経由し、以下のようなエンドポイントに分岐しています:
- /ollama — GGUF ウェイトを利用するローカル Ollama モデルサーバー
- /openai — 上位の OpenAI 互換エンドポイントへのプロキシ
- /api/v1/audio、/images、/retrieval — 音声認識、画像生成、RAG 検索向けマイクロサービス
- /api/models/base — 社内モデルと外部モデルの両方を列挙
フロントエンドはマルチプロバイダー構成を前提に設計されており、ヘルパー関数が任意の OpenAI 互換 URL からモデルリストを取得し、ローカルの Ollama 在庫と統合。さらにユーザー定義タグを付与して管理します。YAML パーサー(NPM の YAML パッケージ)を利用して外部 OpenAPI ドキュメントを「ツール用ペイロード」に変換し、HTTP サービスをチャット内のクリック可能なツールとして組み込めますGoogle や OneDrive 連携のファイルピッカー用 Worker も用意されており、クラウドストレージとの緊密な統合が見て取れます。
一般的なユーザー操作(チャット補完、タスク管理、パイプラインアップロード、コード実行、Markdown → HTML 変換など)はすべて薄い fetch ラッパーとして実装され、ベアラートークン付きヘッダを使用。これはステートレスな JWT(JSON Web Token)認証方式であることを示しています。主要な機能(パイプライン、評価、画像、ユーティリティ)は専用のサブルートで提供されており、フォルダ構成をそのまま反映した FastAPI または Flask 型のマイクロサービス構成を思わせます。
また、定数ファイルには Ollama 0.1.16 以上が必須と記載されており、全てのローカルモデル推論は Ollama の HTTP API 上で GGUF 量子化ウェイトを利用して実行されることが確認できます。サポートするメディアタイプは PDF から音声(ogg、m4a など)まで幅広く、OCR や音声入力の強化をうたった変更履歴とも一致します。
まとめると、Nytheon はまさに「モダン SaaS」の構成で作られています。フロントエンドは SvelteKit + Vite、バックエンドは Ollama と FastAPI 型マイクロサービス、さらに OpenAPI ベースのプラグインアーキテクチャと JWT 保護された REST 通信を組み合わせており、運営者にとっては機能追加のスピードと新規(あるいは悪意ある)機能を容易に実装できる柔軟性をもたらしています。
Nytheon AI プラットフォームの運営者は誰か?
公式の Nytheon AI Telegram チャンネルに参加したところ、Nytheon Vision を紹介するデモ動画を確認できました。図8は、運営者が動画を「独自に見せる」ため意図的にぼかしているものですが、1フレームにロシア語の映画ポスターが映り込んでおり、文化的な手掛かりとなりました。
図8:Nytheon AI Telegram デモ動画のスクリーンショット
そこには「Зелёный паук」(「緑のクモ」)と書かれていました。これはソ連時代の1990年代に公開された映画です。
さらに、Telegram チャンネルおよび Nytheon AI プラットフォームの運営者のひとりと直接コンタクトを取ることにも成功しました。Cato CTRL は、使用された方言に基づき、この人物が旧ソ連圏出身のロシア語話者であると高い確信度で評価しています。
セキュリティのベストプラクティス
セキュリティ対策の強化に向けて
- Cato XDR を活用し、統合された行動分析(Behavioral Analytics)とUEBA(User and Entity Behavior Analytics) により、機械学習(ML)モデルを用いて異常や未知の脅威を検出しましょう。
- Cato XDR を使えば、ネットワーク、クラウド、リモートユーザー からのシグナルを自動的に相関付けて分析できます。これは、フィッシング攻撃や急速に変化するマルウェアが複数の領域を同時に狙う場合に極めて重要です。
より強固なアクセス制御の導入
- Cato Universal ZTNA(ゼロトラスト・ネットワーク・アクセス)を導入し、端末の状態を継続的にチェックし、リスクベースのポリシーを適用することで、内部侵入後の被害拡大を防ぎ、危険な認証情報を特定して隔離しましょう。
- ユーザーのID・役割・利用状況に基づいたCatoのアイデンティティ対応ルーティングを活用して、最小権限アクセスと多要素認証(MFA)を適用し、きめ細かなアクセス制御を実現。 これにより攻撃対象領域を最小限に抑えることができます。
セキュリティ意識とトレーニングの強化
- 生成AIを活用して、文調や文脈に完璧に合わせたフィッシングメールのシミュレーションを実施
- Cato CASBの「Shadow AIダッシュボード」により、社内でのGenAIツール利用を監視し、IT部門がリスクの高い、または許可されていない利用を特定可能に
- Catoの脅威インサイトとリアルタイムのトラフィック分析を活用し、社内のセキュリティ訓練やインシデント対応計画を強化
- Catoの可視性を、外部開発者向けトレーニングやCI/CDセキュリティツールと組み合わせることで、生成AIコーディングに伴うリスクに対応
結論
Nytheon AI プラットフォームは、オープンソース LLM、脱獄用プロンプト、そしてクラウドネイティブなマイクロサービスを組み合わせることで、「GenAI-as-a-service」型の不正基盤 を構築可能であることを示しています。単に単体の検閲解除 LLM を提供するのではなく、複数の LLM を統合した一つのプラットフォームとして、カスタマイズされたスピアフィッシング、ポリモーフィックマルウェア、偽造文書、API駆動型の攻撃など多様な攻撃を可能にしています。
防御側にとって課題は、もはや Nytheon AI そのものを遮断することだけではありません。このプラットフォームが大量かつ多様に生成するアーティファクト(生成物)にどう対処するかが問われています。したがって防御戦略は、可視性、制御、人の備え に重点を置く必要があります。これらを徹底することで、Nytheon AI がもたらす脅威を最小限に抑えることができます。
