ウィズセキュア、北朝鮮の国家ハッカー『Andariel』の新たな活動と未知のマルウェアについて警告

先進的サイバーセキュリティテクノロジーのプロバイダーであるWithSecure (本社: フィンランド・ヘルシンキ、以下、ウィズセキュア) は、北朝鮮 (朝鮮民主主義人民共和国) の偵察総局 (RGB) が関与しているとされる国家ハッカーグループ『Andariel』によるものと強い確信をもって特定した侵害について、公共・法務セクターのユーザーに対して通知・警告しました。この帰属判断は、TigerRATなどのAndariel特有のマルウェアの使用、特徴的なコマンド実行パターン、インフラの関連性、およびAndarielの過去の活動と一致する技術的・非技術的指標によって裏付けられています。

ウィズセキュアは、この侵害の主な目的がサイバー諜報活動であったと判断しています。その最も明確な証拠は、Andarielが反マネーロンダリング (AML) 文書にアクセスした点にあります。北朝鮮は国際制裁回避のためのマネーロンダリング活動で悪名を馳せており、今回の侵入は彼らの長年にわたる諜報を主目的とした活動と合致します。

今回のリサーチではさらに、2025年に韓国のERPソフトウェアベンダーを標的としたAndarielのオペレーションも明らかになりました。ウィズセキュアは、このERPソフトウェアが2017年にAndarielの標的となり、2024年にもほぼ確実に再び標的とされていたことを確認しました。これらの複数回にわたる攻撃は、Andarielのサプライチェーンの悪用に対するの継続的な関心を示しています。

ウィズセキュアのリサーチチームは「Andarielは進化を続ける中で新たなツールと既知の手法を組み合わせて、北朝鮮の諜報活動の優先事項のサポートをしているのです。」と述べています。

2件の攻撃と関連するAndarielのステージングサーバーから、ウィズセキュアはStarshellRAT、JelusRAT、GopherRAT の3つの新規未公開RAT (リモートアクセス型トロイの木馬) を発見し、これらの侵入を結びつける追加の痕跡も確認されました。ステージングサーバーからは、PrintSpoofer、カスタマイズされたPetitPotatoサンプル、アンチウィルス／EDR製品を無効化する「Bring Your Own Vulnerable Driver (BYOVD)」手法など、新旧のツール群の使用実態も明らかになりました。

ウィズセキュアは企業／団体のユーザーおよびMSPに対し、エンドポイント可視性の強化、ソフトウェアサプライチェーンの完全性検証、詳細レポートに記載の侵害指標 (IoC) の確認を推奨しています。

本件に関する詳細なレポート (英語) は以下のページでご覧いただけます:

https://labs.withsecure.com/publications/andariel-2025

ウィズセキュアWebサイト:

https://www.withsecure.com/jp-ja/

ウィズセキュアプレスページ:

https://www.withsecure.com/jp-ja/whats-new/pressroom