ドローン開発に関わる欧州の防衛企業を標的とした新たなサイバー攻撃の一連が、サイバーセキュリティ研究者によって明らかになりました。
ESETによると、この活動は北朝鮮と関係のあるラザルスグループによるものであり、機密性の高い軍事・航空宇宙データの窃取を目的とした長期的なサイバースパイ活動「Operation DreamJob」の最新フェーズとされています。
ラザルスグループ、スパイ手法を洗練
このキャンペーンは2025年3月に検知され、欧州の3社――金属工学企業、航空機部品メーカー、防衛請負業者――が標的となりました。
いずれも偽の求人情報を使ったソーシャルエンジニアリング手法で騙されるという、「Operation DreamJob」の特徴的な手口が用いられました。被害者はトロイの木馬化されたPDFリーダーを開くよう誘導され、密かにマルウェアがインストールされました。
ESETのテレメトリによれば、「ScoringMathTea」と呼ばれるリモートアクセス型トロイの木馬(RAT)が使われており、攻撃者に侵害されたシステムへの完全な制御権を与えていました。
このマルウェアは、GitHubの改ざんされたオープンソースプロジェクトを含む、正規ソフトウェアを装ったドロッパーやローダーを通じて配布されました。
ドローンとの関連性
主要な悪意あるファイルの一つであるDroneEXEHijackingLoader.dllから、研究者はこのキャンペーンが特にUAV関連データを狙っていると推測しました。標的となった企業のうち2社はドローン部品やソフトウェアの製造に関わっており、これは現在北朝鮮が強化を目指している分野です。
北朝鮮のサイバースパイ活動についてさらに読む:AI生成の軍用IDが北朝鮮のフィッシング攻撃に利用
攻撃のタイミングは、北朝鮮兵士がウクライナでのロシアの作戦を支援しているとの報道と一致しており、このキャンペーンが紛争で投入されている西側製ドローンに関する情報収集を目的としていた可能性が指摘されています。
ESETは、これが平壌のUAV設計強化の野望を支援するものと考えており、多くの北朝鮮製ドローンが米軍のRQ-4グローバルホークやMQ-9リーパーといった機体と大きな類似点を持つとしています。
ツールと手法
ESETによれば、攻撃者は2025年に以下のような新たな要素をツールセットに加えました:
-
TightVNC ViewerやMuPDFなどのトロイの木馬化されたオープンソースアプリケーション
-
DirectX WrappersやNotepad++プラグインを基にした新しいローダーやダウンローダー
-
主要ペイロードとしてScoringMathTeaの継続利用
これらのアップデートは、ラザルスがソーシャルエンジニアリングとマルウェア混入ソフトウェアの組み合わせという特徴的な戦略を維持しつつ、手法の洗練を続けていることを示しています。
ESETは結論付けています:この最新のキャンペーンは、防衛分野、特にUAV研究に従事する企業が直面する継続的なリスクを浮き彫りにしています。
「北朝鮮が現在、ドローン産業と兵器の拡大に注力していることを考えると、この分野で活動する他の組織も近い将来、北朝鮮系脅威アクターの標的となる可能性が高いでしょう。」
翻訳元: https://www.infosecurity-magazine.com/news/lazarus-groups-operation-dreamjob/
