詳細な静的・動的解析により、DriverFixer0428と呼ばれるmacOS向けマルウェアが特定された。これは認証情報窃取型(クレデンシャル・スティーラー)に分類され、中〜高程度の確度で、北朝鮮の「Contagious Interview」として知られるキャンペーンに帰属するとされる。サンプルはシステムユーティリティを装っており、ユーザーにアプリケーションを信用させ、操作させるよう設計されている。
マルウェアの主な挙動は、macOSシステムのログイン認証情報を収集することにある。これを実現するため、DriverFixer0428は、OSのセキュリティプロンプトやGoogle Chromeの権限要求を忠実に模倣した偽のダイアログウィンドウを用い、ソーシャルエンジニアリング手法を悪用する。入力された認証情報は、その後DropboxのクラウドストレージAPIを介して攻撃者が管理するインフラへ送信される。
サンプル名は、解析したバイナリ内に存在する内部参照に由来する。静的解析の過程で、DriverFixer0428、OverlayWindowControllerといった識別子やSwiftファイルへの参照が確認され、正規プロジェクトと整合するアプリケーション構造が示唆された。接尾辞「0428」は、マルウェアのコンパイル日である4月28日を指す可能性、あるいは脅威開発者が用いる内部バージョン番号である可能性があると解釈されている。
技術的には、解析対象のサンプルはユニバーサルMach-Oバイナリで、x86_64およびARM64アーキテクチャに対応し、Swiftで記述され、AppKitに基づいている。ファイルサイズは約235 KBで、パッケージ識別子としてchrome.DriverFixer0428を使用し、ソースパスDriverFixer0428/ViewController.swiftに関連付けられている。サンプルのSHA-256ハッシュは9aef4651925a752f580b7be005d91bfb1f9f5dd806c99e10b17aa2e06bf4f7b5である。
北朝鮮への帰属は、技術・戦術・手順(TTP)を、既に公に文書化されたキャンペーンと相関させた結果に基づく。特定のハッシュ自体は主要な脅威インテリジェンス・データベースに存在しないものの、運用上の類似性により、同一の脅威活動に関連付けられているFlexibleFerret、FrostyFerret、ChromeUpdate、CameraAccess各ファミリーとの関連が示される。とりわけ、ネットワークインフラは2025年2月にSentinelOneが記述したものと一致している。
観測されたネットワーク通信には、侵害されたシステムのグローバルIPアドレスを特定するためのapi.ipify.orgへの接続や、OAuthトークンの管理および持ち出したデータのアップロードにDropbox APIを利用する動作が含まれる。この選択により、マルウェアは正規のクラウドサービスの背後に悪性トラフィックを隠蔽でき、ネットワークベースのセキュリティ制御による検知確率を低下させる。
LLDBデバッガを用いて実施された動的解析では、複雑なサンドボックス回避機構が明らかになった。DriverFixer0428は、sysctlbynameなどのシステムAPI、IOKitレジストリ、NSScreen APIを照会して仮想化環境を特定するランタイムチェックを実行する。仮想マシンまたは解析環境が検出されると、マルウェアはペイロードの起動を回避し、非アクティブな実行状態のまま留まる。
この「サイレントフェイル(静かな失敗)」の挙動は、静的解析では明確に悪性活動が示される一方で、自動サンドボックスでは比較的低いスコアとなり、サンプルが「おそらく無害」と分類されるという乖離を説明する。アナリストによれば、この運用能力は国家支援アクターに見合う成熟度を反映しており、高度な脅威に対抗するうえで自動検知ツールが抱える限界を裏付けている。