「オペレーション・ポセイドン」と名付けられたキャンペーンは、高度に洗練された標的型攻撃として特定されており、攻撃者は広告トラフィックのリダイレクト機構を悪用してメールフィルターを回避し、ユーザーの警戒心を低下させました。
この策略の要は、Google広告およびNaverのリンク構造を利用することで、有害な遷移を正当なプロモーションクリックに見せかけて隠蔽できる点にありました。Genians Security Centerの評価によれば、ソーシャルエンジニアリングとAutoItスクリプトの展開に長けた北朝鮮系の脅威集団であるKonniが、この作戦の首謀者です。
主な標的は韓国の組織で、特に金融および人権分野に及びました。攻撃者は銀行機関や支援団体からの公式文書を装ったメッセージをばらまき、受信者にアーカイブされた文書を確認するよう誘導しました。実際には、これらのアーカイブにはLNKショートカットが含まれており、実行されるとAutoItスクリプトが呼び出されました。これらのスクリプトはその後、PDF文書を装う外観の裏で、EndRATマルウェアを密かにメモリ上へ読み込みました。この手法の顕著な特徴は、最初のファイル実行後に追加のユーザー操作を必要としない点です。
攻撃者はインフラ内で脆弱なWordPressインストールを悪用し、中継ホストおよびコマンド&コントロール(C2)チャネルとして転用しました。これによりドメインの迅速なローテーションが可能となり、フォレンジック追跡が大幅に困難になりました。さらに、受信者が開封・閲覧した瞬間を確認するために、メール内に埋め込まれた「トラッキングピクセル」(1×1の透明画像)という証拠も確認されました。
2025年7月以降、戦術の進化が観測されました。従来は悪性リンクがメッセージ本文に直接埋め込まれていましたが、同グループはそれらをGoogleおよびNaverの広告URLでラップする手法へ移行しました。この動きにより、URLレピュテーションに基づくフィルターを効果的に回避し、内容の正当性の見え方を高めました。
このキャンペーンは極めて高度ななりすましが特徴で、メールは実在する銀行の名称を用い、「振込確認」や「個人データ処理への同意」といった形式的な文言を採用していました。特定のファイルは、北朝鮮に関する人権シンポジウムへの公式招待状を模倣していました。口実が何であれ、いずれも悪性のLNKファイルを含み、起動されると共通のコマンドサーバーへの接続を確立しました。
インフラと基盤コードの分析精査により、Konniによる犯行であることが確認されています。いくつかの事例では、悪性スクリプトに内部呼称「Poseidon — Attack」が含まれていました。この文字列は後の改版で削除されたものの、当初のコンパイルパスは一貫したプロジェクト構造と開発手法を示しています。
この脅威の深刻化を踏まえると、単なるフィルタリングや初歩的なアンチウイルスだけでは効果的な防止は困難です。専門家は、EDRのような振る舞い検知システムに加え、攻撃者の戦術を継続的に分析する必要性を強調しています。とりわけ、ショートカットの実行からスクリプトやPowerShellの呼び出しへ移行する挙動を検知することが、早期介入の要となります。多層防御と文脈に基づくイベント分析を実装することで、インシデントの迅速な特定が可能となり、対応時間を短縮し、攻撃の横展開を阻止できます。
