出典:Shutterstock経由 DD Images
北朝鮮の脅威アクターが、継続中のフィッシングキャンペーンで再び開発者を標的にしている。今回は、通常の地理的範囲を超える明確な焦点を持ち、人工知能(AI)を用いて新しいバックドアを開発している点が示されている。
高度持続的脅威(APT)グループのKonniは、アジア太平洋(APAC)地域(日本、オーストラリア、インドを含む)において、ブロックチェーン関連のリソースやインフラに関する専門知識とアクセスを持つ開発者を標的にしていることが、Check Point Researchが最近のブログ投稿で明らかにした。過去の脅威キャンペーンでは、Konniは主に韓国における政府関係者や政治・学術関連の標的に焦点を当てていたため、今回の標的化は「同グループの通常の重点領域を超えている」と投稿では述べられている。
この活動は、正規のプロジェクト文書に見えるフィッシング誘導を用いており、同グループが従来の戦術や標的から逸脱していることも示している。これは活動の方向転換の可能性を示唆するものだとCheck Pointは述べた。
投稿によれば、「この標的化は行動の顕著な変化を反映している」という。「個々のエンドユーザーに焦点を当てるのではなく、このキャンペーンの目的は開発環境に足場を築くことにあるようで、侵害が成功すれば複数のプロジェクトやサービスにわたる、より広範な下流アクセスを得られる可能性がある。」
実際、朝鮮民主主義人民共和国(DPRK)に結び付く脅威アクターは、ソフトウェア開発者を標的にすることで悪名高い。特に、求人・採用キャンペーンとして広範に展開されるContagious InterviewやWagemoleが知られている。ただし前述のとおり、これらのキャンペーンはより個人に焦点を当てていたのに対し、今回のものは長期的な持続性をより狙っているようだ。
AIを用いたマルウェア生成
このキャンペーンのもう一つの注目点は、AIが書いたPowerShellバックドアを使用していることであり、脅威アクターによるAIツール採用の拡大を反映している。実際、2026年はAI生成マルウェアが本格的に登場する年になりそうだ。例えばCheck Pointは最近、VoidLinkと名付けられた複雑なLinuxマルウェア・フレームワークが、AIコーディング支援ツールTRAE SOLOによってほぼ全面的に構築されたことを文書化している。
この最新キャンペーンで使用されたKonniのバックドアは「異例なほど洗練された構造」を持ち、Check Pointの研究者によれば、一般的なマルウェアやAPTが作成したPowerShellインプラントでは珍しい、冒頭のドキュメントが付いているという。そのドキュメントでは、UUIDベースのこのプロジェクトが同時に1インスタンスのみ実行されるようにすること、そして13分ごとにHTTP GETでシステム情報を送信することといったスクリプトの機能が、明確で読みやすい形で説明されている。さらに、各々が特定のタスクを担う、明確に定義された論理的セクションに分割されており、ブログ投稿によれば、これは「場当たり的なマルウェア開発というより、現代的なソフトウェア工学の慣習」を反映している。
「KonniがAI支援ツールを導入したことは、実証済みの配布手法とソーシャルエンジニアリングに依存し続けながら、開発を加速しコードを標準化しようとする取り組みを示唆している」とCheck Pointは述べた。
ブロックチェーン開発者を標的に
このキャンペーンで使われた誘導文書は、ブロックチェーン開発者に焦点を当てていることを示しており、通常は朝鮮半島に焦点を当てた地政学的テーマの武器化文書を用いるKonniにとっても異例だ。
このケースでは、誘導は正規の開発プロジェクト資料のように見え、アーキテクチャ、技術スタック、開発スケジュール、場合によっては予算や納品マイルストーンまで、技術的な詳細が含まれているとCheck Pointは述べている。
投稿には「このパターンは、開発環境を侵害し、インフラ、API認証情報、ウォレットへのアクセス、最終的には暗号資産の保有分を含む機微な資産へのアクセスを得ようとする意図を示唆している」とある。
ブロックチェーンと暗号資産へのこの焦点は、より一般的には他のDPRK関連アクターと結び付けられることが多いが、Check Pointによれば、Konni(より強力なAPTであるKimsukyの下位グループ)も、過去に同様の金銭目的の標的化に関与していた兆候があるという。
APTの進化で防御側は対応を迫られる
APTがAIのような新しいツールを用い、急速に進化するキャンペーンで戦術を変化させているため、防御側もこれらの活動の変化する性質に対して高い警戒を維持する必要があるとCheck Pointは述べている。
投稿には「Konniが歴史的に韓国中心だった活動範囲を超える兆候と相まって、この作戦は、成熟した脅威アクターが安定した侵入ワークフローを維持しつつ、標的化とツールの両方を適応させ得ることを示している」とある。
いつものことだが、どれほど正規に見える文書であっても、添付または埋め込み文書をクリックするよう求める心当たりのないメールを受け取った人は、疑ってかかるべきだ。組織がKonniによるブロックチェーン開発者への最新攻撃の具体的な兆候を認識できるよう、Check Pointはブログ投稿に、ハッシュ、スクリプト、実行ファイル、ドメインおよびIPに関連するアーティファクトを含む侵害指標(IoC)の一覧を掲載した。
