北朝鮮国家ハッカーAndarielの新たな活動概観

WithSecure（以下、ウィズセキュア）は、北朝鮮（朝鮮民主主義人民共和国）の偵察総局(RGB)が関与しているとされる国家ハッカーグループ「Andariel」による侵害活動について、公共・法務セクターのユーザーに対して通知・警告を行った。今回の調査では、新たな未公開マルウェアの発見に加え、ソフトウェアサプライチェーンを標的とした継続的な攻撃活動が確認された。

Andarielによる侵害活動の特定

ウィズセキュアは、今回の侵害について、TigerRATなどAndariel特有のマルウェアの使用、特徴的なコマンド実行パターン、関連インフラ、過去の活動との一致など、複数の技術的および非技術的指標に基づき、同グループによるものと特定したとしている。

同社は、今回の侵害の主な目的をサイバー諜報活動であると判断している。その根拠として、攻撃者が反マネーロンダリング(AML)関連文書へアクセスしていた点を挙げている。北朝鮮は国際制裁回避のためのマネーロンダリング活動で知られており、今回の侵入は従来の諜報活動の傾向と一致するとしている。

ERPソフトウェアを狙った継続的な攻撃

今回のリサーチでは、2025年に韓国のERPソフトウェアベンダーを標的としたAndarielのオペレーションも明らかになった。ウィズセキュアは、このERPソフトウェアが2017年に同グループの標的となり、2024年にも再び狙われていた可能性が高いことを確認している。

複数年にわたる攻撃の継続は、Andarielがソフトウェアサプライチェーンの悪用に過去の活動と一致する攻撃が確認されている。

新たに確認された3種の未公開RAT

調査では、2件の攻撃および関連するAndarielのステージングサーバーから、StarshellRAT、JelusRAT、GopherRATの3種類の新規未公開RAT（リモートアクセス型トロイの木馬）が発見された。これらのマルウェアは、侵入活動を相互に関連付ける追加の痕跡として確認されている。

また、ステージングサーバーからは、PrintSpooferやカスタマイズされたPetitPotatoサンプルのほか、アンチウイルスやEDR製品を無効化する「Bring Your Own Vulnerable Driver(BYOVD)」手法など、新旧のツールを組み合わせた攻撃手法の使用も確認された。

エンドポイント可視性とサプライチェーン検証を推奨

ウィズセキュアは、企業および団体のユーザー、ならびにMSPに対し、エンドポイント可視性の強化、ソフトウェアサプライチェーンの完全性検証、詳細レポートに記載された侵害指標(IoC)の確認を推奨している。

同社のリサーチチームは、Andarielが新たなツールと既知の手法を組み合わせながら活動を進化させ、北朝鮮の諜報活動の優先事項を支援していると指摘している。

出典：PRTimes ウィズセキュア、北朝鮮の国家ハッカー『Andariel』の新たな活動と未知のマルウェアについて警告