Trellixは8月18日(米国時間)、「The Coordinated Embassy Hunt: Unmasking the DPRK-linked GitHub C2 Espionage Campaign」において、北朝鮮に関連する攻撃者がソウルの複数の大使館を標的とした大規模スパイ活動を発見したと伝えた。

彼らは2025年3月から7月にかけて少なくとも19件のスピアフィッシング攻撃を展開し、外交官や職員を装った偽メールを送りつけた。攻撃者は正規の外交連絡や公式行事招待を装って職員をだまし、感染ファイルを開かせる戦術を取ったことが確認されている。

  • The Coordinated Embassy Hunt: Unmasking the DPRK-linked GitHub C2 Espionage Campaign

    The Coordinated Embassy Hunt: Unmasking the DPRK-linked GitHub C2 Espionage Campaign

GitHub悪用によるKimsukyのスパイ活動全容

攻撃者はGitHubを指令・制御チャネルとして悪用し、DropboxやDaumといったクラウドストレージを通じてマルウェアを配布していた。攻撃者は侵入後、PowerShellスクリプトを利用し、偽装されたLNKファイルを経由してXenoRATを展開した。

この遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)は標的システムの完全制御を可能にし、キーストローク記録やスクリーンショット取得、カメラやマイクへのアクセスまでサポートし、GitHub APIを悪用したデータの窃取方法によって正規通信に紛れ込みやすくなっていた。

この攻撃は複数の段階を踏んで進行。2025年3月にはガス施設点検やEU会合議事録を装った初期の試行が確認され、同年5月には米国独立記念日イベントや外交誌インタビュー依頼といった多様なテーマで攻撃が展開されている。6月から7月にかけても軍事イベントや二国間外交を題材にしたフィッシングが行われ、継続的かつ巧妙な社会工学的誘導が実施された。さらに、攻撃者は少なくとも54種類の多言語PDF文書をデコイとして作成しており、正規の外交通信や国際会議資料を模倣することで信頼性を高めていた。

調査によると、攻撃インフラはGitHubアカウント「blairity」「landjhon」などを中核に構築され、複数のリポジトリーが個別の標的テーマに対応していた。関連ログからは、攻撃者がWindows仮想環境上で開発者レベルのツールを駆使し、韓国国内のクラウドサーバーやサービスを利用して活動を隠蔽していたことが明らかになった。こうした周到な準備と運用環境は、国家支援を受けた高度な組織性を示している。

中国のインフラや人員を活用した越境的な実行体制

最終的に、このキャンペーンは北朝鮮のサイバー部隊Kimsuky(APT43)によるものと特定されている。ただし、攻撃者の活動時間帯や休止時期が中国の祝祭日と一致する点から、中国拠点での活動や中国人オペレーターの関与の可能性も示唆される。

この攻撃は北朝鮮主導のスパイ活動であると同時に、中国のインフラや人員を活用した越境的な実行体制を持つとみられている。今回の分析は、外交機関が今後同様の攻撃に備える上で重要な知見を提供している。