ロシアと北朝鮮による希少なAPT協力が浮上

Gen Threat Labsの新たな発見により、ロシアのGamaredonと北朝鮮のLazarusが運用インフラを共有している可能性が示されました。これは国家支援型脅威アクター間の協力としては珍しく、懸念すべき兆候です。

初期分析では、両脅威アクターが数日以内に同じサーバー上で活動していることが確認されており、研究者はこの収束を「無視できないほど近い」と表現しています。

「これらのパートナーシップは、国家エコシステム内でのリソース共有と戦術的連携の傾向が強まっていることを示しており、国家支援型キャンペーンの影響力と耐性を高めています」と研究者は述べています。

2025年7月28日、Genの内部監視システムが、グループのTelegramおよびTelegraphベースのインフラに関連する活動を検知した後、既知のGamaredonコマンド＆コントロール（C2）アドレス — 144[.]172[.]112[.]106 — をフラグしました。

4日後、同じIPがLazarusに帰属し、以前ContagiousInterviewというリクルートメントテーマのキャンペーンで使用されたInvisibleFerretマルウェアファミリーの難読化された亜種をホスティングし始めました。

サーバー構造および配信パス（/payload/99/81）は、Lazarusの既知の手法と一致していました。

このIPはプロキシやVPNエンドポイントである可能性もありますが、研究者は時期の近さ、同一の配信構造、ペイロードの系統がインフラ共有の強力な指標であると指摘しています。

CVEsや公開エクスプロイトは関与しておらず、今回のケースはインフラの重複と脅威の帰属パターンに焦点が当てられています。

なぜ国家を超えたAPT協力がこれほど懸念されるのか

GamaredonはロシアFSBのために諜報活動や妨害工作を行い、Lazarusは北朝鮮偵察総局（RGB）のために諜報活動や金銭目的の攻撃を実施しています。

歴史的に、異なる国家のAPTグループが協力することはなく、最後に十分に記録された例は2014年の米英共同Reginフレームワークです。

もしこれが確認されれば、GamaredonとLazarusの協力は以下を示唆します：

この発見は、国家エコシステム内でのAPT協力の追加指標に基づいています：

LazarusとKimsuky：両方のRGB系グループ間で共有IPインフラが発見され、北朝鮮の情報機関内での連携が示唆されています。
DoNotとSideWinder：これらインド系グループ間のペイロード連鎖は、パキスタンを標的とした諜報作戦での連携を示しており、ロシア内での過去のGamaredonとTurlaの重複を反映しています。

これらの例は、APT協力が意図的であれ機会的であれ、各国がサイバー能力を集中させる中でより一般的になっていることを裏付けています。

共同作戦が確認されていなくても、アクター間でのインフラ再利用は大きな検知・帰属の課題をもたらします。

新たなAPT協力や共有インフラに対抗するため、セキュリティチームは以下の対策を講じるべきです：

これらの対策は、複数のAPTプレイブックを同時に活用するハイブリッド脅威を予測する動きの一環です。

GamaredonとLazarusの連携の可能性は、サイバー地政学の新たな段階を示しています。国家に連携する脅威アクターが、インフラ、ツール、戦略目標を共有する時代が到来するかもしれません。

国家が戦略的に連携すれば、サイバー同盟もそれに続き、攻撃の高度化と予測困難性が増します。

APTグループが協力によって進化する中、防御側も同様に迅速に進化しなければなりません。インテリジェンス主導のセキュリティ、業界横断の連携、そして新たな脅威を予測する多層防御が求められています。