XenoRAT malware campaign hits multiple embassies in South Korea

韓国の外国大使館を標的に、悪意のあるGitHubリポジトリからXenoRATマルウェアを展開する国家スパイのキャンペーンが行われている。

Trellixの研究者によると、このキャンペーンは3月から実施されており、現在も継続中で、価値の高いターゲットに対して少なくとも19のスピアフィッシング攻撃を仕掛けています。

インフラとテクニックは北朝鮮のKimsuky (APT43)のプレイブックと一致するが、中国を拠点とする工作員と一致する兆候があると研究者は述べている。

多段階のキャンペーン

この攻撃は、3月上旬から7月にかけて、3つのフェーズで展開された。

最初のプロービングは3月に開始され、発見された最も初期のメールは中央ヨーロッパ大使館を標的としていた。5月になると、脅威者はより複雑なルアーで外交官を標的にするようになった。

2025年5月13日、西ヨーロッパ大使館宛の電子メールは、EU代表部の高官からのものであるかのように装い、『5月14日にEU代表部で行われる政治諮問会議』について説明していた」とTrellixの研究者は述べている。

6月から7月にかけて、敵対者は米韓軍事同盟に関連するテーマに移行した。

Timeline of individual attacks
個別攻撃のタイムライン
出典トレリクス

標的は概してソウルにある欧州の大使館で、テーマには偽の会議招待状、公式書簡、イベント招待状などが含まれ、多くの場合、なりすました外交官から送られていた。

誘い文句は、韓国語、英語、ペルシャ語、アラビア語、フランス語、ロシア語など、高度に文脈に沿った多言語だった。さらに、キャンペーンをより説得力のあるものにするため、ほとんどのEメールは実際の出来事にタイミングを合わせていた。

Phishing messages used in the attacks
攻撃で使用されたフィッシング・メッセージ
ソースはこちら:Trellix

すべてのフェーズにおいて、配信方法は変わらず、攻撃者はDropbox、Google Drive、またはDaumストレージサービスからパスワードで保護されたアーカイブ(.ZIP)を配信していた。

アーカイブには、PDFを装った.LNKファイルが含まれていた。起動すると、難読化されたPowerShellコードがトリガーされ、GitHubやDropboxからXenoRATのペイロードを取得し、スケジュールされたタスクでその永続性を確保します。

XenoRATは強力なトロイの木馬で、キー入力を記録し、スクリーンショットをキャプチャし、感染したコンピュータのウェブカメラとマイクにアクセスし、ファイル転送を実行し、リモートシェル操作を促進することができます。

Trellixは、XenoRATはリフレクションを介してメモリに直接ロードされ、Confuser Core 1.6.0で難読化されているため、侵入されたシステム上でステルス的な存在を維持すると指摘しています。

Overview of the infection chain
感染経路の概要
Trellix

中国と朝鮮民主主義人民共和国の手口

Trellixは、これらの攻撃がAPT43のプロファイルに一致し、北朝鮮の脅威グループに関連する典型的なテクニックを使用していることを強調しています。

この結論を裏付けるヒントとして、韓国の電子メールサービスの使用、コマンド&コントロールのためのGitHubの悪用、他のKimsukyマルウェアファミリーと一致する固有のGUIDとmutexの使用などが挙げられます。

また、研究者は、Kimsukyのキャンペーンに以前リンクされていたIPとドメインを記録しています。

しかし、タイムゾーン分析によると、攻撃者の活動の大半は中国を拠点とする行為者と一致し、同じことが中国の祝日に続く休日の休止にも反映されている一方、韓国の祝日とは強い相関関係がないことがわかりました。

Trellixは、このキャンペーンはAPT43によるものであり、信頼度は中程度であると結論づけています。

.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}

.ia_button {
width: 100%;
margin: 0px auto;
}
}


Picus Blue Report 2025

パイカス・ブルー・レポート2025年版はこちらパスワード・クラッキングが2倍に増加

46%の環境でパスワードがクラックされ、昨年の25%からほぼ倍増。

今すぐPicus Blue Report 2025を入手して、予防、検出、データ流出の傾向に関するその他の調査結果を包括的にご覧ください。