The Hacker Newsは7月25日(米国時間)、「North Korean Nation-State Actors Exposed in JumpCloud Hack After OPSEC Blunder」において、北朝鮮の対外諜報・特殊工作機関に属する脅威アクターがJumpCloudをハッキングした際に自身のIPアドレスを露呈する失敗を犯したと報じた。
Google傘下の脅威インテリジェンス企業であるMandiantは、この攻撃はUNC4899という名で追跡している脅威アクターに起因すると報じている。このUNC4899は他の北朝鮮の複数の脅威アクターと重複している可能性が指摘されている。
JumpCloudへの侵入は2023年6月22日、洗練されたスピアフィッシングキャンペーンの一環として行われた。ソフトウェアサプライチェーン攻撃により複数の企業に侵入したという。
Mandiantは先に公表した分析において、北朝鮮の脅威アクターが被害者のネットワーク上で作戦を実行している際などに、IPアドレスを隠すための仮想プライベートネットワーク(VPN: Virtual Private Network)を誤って使用しなかったことが何度もあったと指摘している。さらに、同社はUNC4899が175.45.178[.]0/24のサブネットから直接接続しているとも説明している。
Mandiantは昨年、北朝鮮の諜報機関は国のニーズに基づいてサイバー部隊を編成する柔軟性と失敗からの回復力があると報告した。さらに、複数のサイバーオペレーションにおいてリソースが共有されているとしており、高度かつ組織的に部隊を運用していることがうかがえる。この脅威アクターは今回の失敗を糧により危険な組織に成長する可能性がある。
