WithSecure(ウィズセキュア)はこのほど、北朝鮮(朝鮮民主主義人民共和国)の偵察総局(RGB)が関与しているとされる国家支援型グループ「Andariel」による侵害と特定したことについて、公共・法務セクターのユーザーに対し、通知・警告した。

Andarielの攻撃手法と目的、北朝鮮偵察総局によるサイバー諜報の実態

この帰属判断は、TigerRAT(Remote Access Trojan:リモートアクセス型トロイの木馬)などのAndariel特有のマルウェアの使用、特徴的なコマンド実行パターン、インフラの関連性、およびAndarielの過去の活動と一致する技術的・非技術的指標により裏付けられているという。

同社は、侵害の主な目的がサイバー諜報活動であったと判断しており、その最も明確な証拠はAndarielが反マネーロンダリング(AML)文書にアクセスした点にあると指摘。北朝鮮は国際制裁回避のためのマネーロンダリング活動を行っており、今回の侵入は長年にわたる諜報を主目的とした活動と合致するとのこと。

また、今回のリサーチでは2025年に韓国のERP(Enterprise Resource Planning)ソフトウェアベンダーを標的としたAndarielのオペレーションも明らかになった。同社は同ERPソフトウェアが2017年にAndarielの標的となり、2024年にも再び標的とされていたことを確認。これらの複数回にわたる攻撃は、Andarielのサプライチェーンの悪用に対する継続的な関心を示しているという。

新たに確認された攻撃ツール

ウィズセキュアのリサーチチームは「Andarielは進化を続ける中で新たなツールと既知の手法を組み合わせて、北朝鮮の諜報活動の優先事項のサポートをしている」と述べている。

2件の攻撃と関連するAndarielのステージングサーバから、同社はStarshellRAT、JelusRAT、GopherRATの3つの新規未公開RATを発見し、これらの侵入を結びつける追加の痕跡も確認した。

ステージングサーバからは、PrintSpoofer、カスタマイズされたPetitPotatoサンプル、アンチウイルス/EDR(Endpoint Detection and Response)製品を無効化するBYOVD(Bring Your Own Vulnerable Driver)手法など、新旧のツール群の使用実態も明らかになったという。

同社は企業/団体のユーザーおよびMSP(Managed Service Provider)に対し、エンドポイント可視性の強化、ソフトウェアサプライチェーンの完全性検証、詳細レポートに記載のIoC(Indicator of compromise:侵害指標)の確認を推奨している。