ESETの研究者Peter KálnaiとMatěj HavránekがVirus Bulletin 2025で発表した白書により、北朝鮮系グループDeceptiveDevelopmentのマルウェアとLazarus GroupのPostNapTea RATとの新たな関連性が判明した。
DeceptiveDevelopmentは2023年から活動し、Contagious InterviewやWageMoleキャンペーン、CrowdStrikeが追跡するFamous Chollimaと重複する。同グループは暗号通貨プロジェクトに関わるソフトウェア開発者を主要標的とし、ClickFix技術や偽のCAPTCHAを使用して攻撃を実行する。
通常のペイロードにはBeaverTailとInvisibleFerretが含まれ、2024年末にはOtterCookieが登場した。AhnLabが今年初めに文書化したTropidoorバックドアは、2022年にLazarusが韓国標的に使用したPostNapTeaと大部分のコードを共有している。
2024年11月、DeceptiveDevelopmentはTsunamiKitを含む修正版InvisibleFerretの使用を開始した。研究者は2021年12月にVirusTotalにアップロードされたTsunamiKitサンプルを発見し、ツールキットがその時期から存在していたことを確認した。
From: 
Lazarus RAT code resurfaces in North Korean IT-worker scams
【編集部解説】
今回のESETの研究発表は、サイバーセキュリティ業界において極めて重要な意味を持っています。北朝鮮のサイバー攻撃グループが、これまで以上に組織的かつ戦略的な手法でマルウェアを共有し始めているという事実は、グローバルなサイバー脅威の新たな局面を示しているからです。
特に注目すべきは、Lazarus GroupとDeceptiveDevelopmentの間でのコード共有が確認されたことです。これは単なる技術的な流用ではなく、北朝鮮のサイバー戦略における役割分担の明確化を意味します。Lazarus Groupが開発した高度な攻撃技術を、IT労働者詐欺を専門とするグループが活用することで、攻撃の効率性と成功率を大幅に向上させています。
この手法が特に危険なのは、正規の雇用プロセスを悪用している点にあります。従来のサイバー攻撃は外部からの侵入が中心でしたが、内部に潜り込んだ偽装IT労働者による攻撃は、企業の防御システムをかいくぐりやすいという特徴があります。
暗号通貨業界への集中的な攻撃も見逃せません。この分野は高い利益率と比較的緩い規制環境を持つため、北朝鮮にとって魅力的な標的となっています。2021年にはすでに存在していた「TsunamiKit」のようなツールキットが、2024年になって新たな攻撃に組み込まれているという事実は、この攻撃戦略が長期間にわたって練り上げられてきたことを示しています。
企業側の対策として重要なのは、採用プロセスの厳格化です。特にリモートワークが一般化した現在、応募者の身元確認や技術力の検証をより慎重に行う必要があります。また、内部システムへのアクセス権限の管理や、異常な活動を検知するモニタリング体制の強化も不可欠でしょう。
【用語解説】
RAT(Remote Access Trojan)
リモートアクセス型トロイの木馬。感染したコンピューターを遠隔操作できる悪意のあるソフトウェアで、データ窃取や追加マルウェアの配信に使用される。
APT(Advanced Persistent Threat)
高度で持続的な脅威。国家や組織が背景にある長期間にわたる標的型サイバー攻撃を指す。高度な技術と豊富なリソースを持つ攻撃者による組織的な活動。
ClickFix
偽のエラーメッセージやCAPTCHA認証を装い、ユーザーに特定の操作を実行させることでマルウェアに感染させるソーシャルエンジニアリング手法。
Infostealer
情報窃取型マルウェア。パスワード、暗号通貨ウォレット情報、ブラウザの保存データなど、個人情報や機密データを収集・送信する。
バックドア
正規の認証プロセスを回避してシステムに不正アクセスできる秘密の経路。一度設置されると継続的な侵入が可能になる。
Tor
匿名性を重視したインターネット通信システム。通信経路を暗号化・多段階化することで、送信者と受信者の身元を隠蔽する。
【参考リンク】
ESET(外部)
スロバキアに本社を置く国際的なサイバーセキュリティ企業で、アンチウイルスソフトウェアの開発・販売とマルウェア研究を行う
CrowdStrike(外部)
米国のサイバーセキュリティ企業で、エンドポイント保護とクラウドベースのセキュリティソリューションを提供
AhnLab(外部)
韓国の大手セキュリティ企業でV3アンチウイルスで知られ、APT攻撃の分析・研究で主導的役割を果たす
Virus Bulletin(外部)
サイバーセキュリティ業界の権威ある国際会議・出版物で、マルウェア研究者が最新の脅威情報を共有する場
【参考記事】
North Korean Hackers Use New AkdoorTea Backdoor to …
ESETの発見に加え、新たなバックドア「AkdoorTea」の存在を報じています。このマルウェアがLazarus Group傘下の別インプラント「NukeSped」の亜種と共通点を持つことを指摘し、攻撃グループ間の広範な連携を示唆しています。
Lazarus Group Uses Fake Job Interviews to Spread …
Lazarus Groupが偽の求人面接を通じて「ClickFix」技術を悪用し、マルウェアを拡散させる手口を解説しています。「Contagious Interview」と名付けられたキャンペーンの詳細と、OPSECのミスから攻撃者の情報が漏洩した経緯を報告しています。
North Korean hackers blamed for record spike in crypto …
Chainalysisのデータを基に、2025年上半期に暗号資産の盗難が過去最高額に達し、その多くが北朝鮮のハッカーによるものであると報じています。国家的な制裁回避戦略としてサイバー犯罪が利用されている背景情報として参照しました。
【編集部後記】
今回の事案を通じて、私たちが日常的に利用するテクノロジーの背景にある複雑な脅威について考えさせられました。特に、リモートワークが当たり前になった現在、企業の採用プロセスや情報管理のあり方について、皆さんはどのようにお感じでしょうか。
もし皆さんが採用担当者や開発チームの一員であれば、今回のような攻撃手法にどう対処されますか?また、暗号通貨やブロックチェーン技術に関わる方々にとって、このような脅威の進化は業界全体にどのような影響を与えると思われますか?
私たちも読者の皆さんと同じように、この複雑化するサイバー脅威の世界を理解しようと日々学んでいます。ぜひ、皆さんのご意見や体験もお聞かせください。
