ScarCruft、韓国の学術関係者を標的とした「HanKook Phantom作戦」でRokRATマルウェアを使用

サイバーセキュリティ研究者は、北朝鮮と関係のあるハッカーグループScarCruft（別名APT37）による、新たなフィッシングキャンペーンを発見しました。このキャンペーンでは「RokRAT」と呼ばれるマルウェアが配布されています。

この活動はSeqrite Labsによって「HanKook Phantom作戦」と命名されており、攻撃は国家情報研究協会に関連する人物、学術関係者、元政府関係者、研究者などを標的にしているとされています。

「攻撃者の目的は、機密情報の窃取、永続的な侵入の確立、または諜報活動である可能性が高い」と、セキュリティ研究者のDixit Panchalは先週公開したレポートで述べています。

攻撃の起点は、「国家情報研究会ニュースレター第52号」という標的型フィッシングメールで、これは韓国の研究団体が発行する国家情報、労働関係、安全保障、エネルギー問題に関する定期ニュースレターを装っています。

このデジタルメッセージにはZIP形式のアーカイブが添付されており、その中にはPDF文書を装ったWindowsショートカット（LNK）が含まれています。これを開くと、ニュースレターがデコイとして表示される一方で、感染したホストにRokRATが展開されます。

RokRATはAPT37に関連する既知のマルウェアであり、システム情報の収集、任意コマンドの実行、ファイルシステムの列挙、スクリーンショットの取得、追加ペイロードのダウンロードが可能です。収集されたデータはDropbox、Google Cloud、pCloud、Yandex Cloudを通じて外部に送信されます。

Seqriteは、LNKファイルがPowerShellスクリプトの媒介となる第2のキャンペーンも検知したと述べています。このスクリプトはデコイのMicrosoft Word文書を展開するだけでなく、難読化されたWindowsバッチスクリプトを実行し、ドロッパーを展開します。バイナリは次の段階のペイロードを実行し、感染ホストから機密データを窃取しつつ、ネットワークトラフィックをChromeのファイルアップロードに偽装します。

このケースで使われた誘導文書は、朝鮮労働党中央委員会宣伝扇動部副部長である金与正氏が2025年7月28日付で発表した、ソウルの和解努力を拒否する声明です。

「このキャンペーンの分析は、APT37（ScarCruft/InkySquid）が引き続き高度にカスタマイズされた標的型フィッシング攻撃を行い、悪意のあるLNKローダー、ファイルレスPowerShell実行、隠密な情報流出メカニズムを活用していることを浮き彫りにしています」とPanchal氏は述べています。

「攻撃者は、韓国政府部門、研究機関、学術関係者を特に標的とし、情報収集および長期的な諜報活動を目的としています。」

この動きは、サイバーセキュリティ企業QiAnXinが、悪名高いLazarus Group（別名QiAnXin）によるClickFix型の手口を用いた攻撃を詳述したこととも重なります。この攻撃では、就職希望者を騙して、ビデオ審査時のカメラやマイクの問題を解決するという名目でNVIDIA関連のアップデートをダウンロードさせようとします。この活動の詳細は2025年7月下旬にGen Digitalによって公開されています。

ClickFix攻撃では、Visual Basic Scriptが実行され、BeaverTailというJavaScript製の情報窃取ツールが展開されます。さらに、InvisibleFerretと呼ばれるPythonベースのバックドアも配布される可能性があります。これらの攻撃は、コマンド実行やファイルの読み書きが可能なバックドアの設置にもつながります。

この開示はまた、米国財務省外国資産管理局（OFAC）が、北朝鮮のリモートITワーカーによる不正収益獲得スキームに関与した2名と2団体に対し、大量破壊兵器および弾道ミサイル計画の資金調達を目的とした新たな制裁を科したことを受けたものでもあります。

Chollima Groupは先週発表したレポートで、Moonstone Sleetに関連し、「BABYLONGROUP」として追跡しているITワーカークラスターの調査結果を詳述しました。これは、DefiTankLandというブロックチェーン型P2E（Play to Earn）ゲームに関連しています。

DefiTankLandのCTOとされるLogan Kingは、実際には北朝鮮のITワーカーであると考えられており、KingのGitHubアカウントがウクライナのフリーランサー兼ブロックチェーン開発者「Ivan Kovch」によって参照されている事実が、この仮説を裏付けています。

「多くのメンバーは以前、ICICBという怪しげな企業（我々はフロント企業だと考えている）のために大規模な暗号通貨プロジェクトに従事していました。クラスターの非DPRKメンバーの一人は中国のサイバー犯罪市場FreeCityを運営しており、DeTankZoneと、かつてタンザニアで活動していた年配のITワーカーとの興味深い関係もあります」とChollima Groupは述べています。

「DefiTankLandのCEOであるNabil Amraniは、以前Loganと他のブロックチェーンプロジェクトで協力していましたが、開発には関与していないと考えています。つまり、Moonstone SleetのDeTankZoneの背後にある『正規』ゲームは、実際には北朝鮮のITワーカーによって開発され、その後北朝鮮のAPTグループに利用されたということです。」