北朝鮮のサイバースパイ活動「PurpleBravo」の全貌

Recorded FutureのInsikt Groupは、北朝鮮の脅威アクターによるサイバースパイ活動クラスター「PurpleBravo」キャンペーンの詳細を明らかにしました。このキャンペーンは、偽の求人面接を通じて、3,136の個別のIPアドレスを標的にしていました。特に、人工知能（AI）、仮想通貨、金融サービス、ITサービス、マーケティング、ソフトウェア開発といった分野の20の組織が潜在的な被害者として特定されています。

標的と被害状況

標的となった3,136のIPアドレスは、主に南アジアと北米に集中しており、2024年8月から2025年9月にかけて攻撃を受けたと評価されています。被害が確認された20の企業は、ベルギー、ブルガリア、コスタリカ、インド、イタリア、オランダ、パキスタン、ルーマニア、アラブ首長国連邦（U.A.E.）、ベトナムに拠点を置いています。

このキャンペーンでは、求職中の候補者が企業のデバイス上で悪意のあるコードを実行してしまうケースが多く見られ、これにより個人のデバイスだけでなく、組織全体のネットワークが危険にさらされる事態も発生しています。

攻撃手法と使用マルウェア

攻撃者たちは、悪意のあるMicrosoft Visual Studio Code (VS Code) プロジェクトを攻撃ベクトルとして悪用し、バックドアを配布しています。これは、信頼された開発者ワークフローが悪用され続けていることを示しています。

使用された主要マルウェア：

• BeaverTail: JavaScriptベースのインフォスティーラーおよびローダー。
• GolangGhost（別名FlexibleFerretまたはWeaselStore）: Go言語で開発されたバックドア。オープンソースツール「HackBrowserData」を基にしています。

また、攻撃者たちはLinkedIn上で偽のペルソナを使い、開発者や採用担当者になりすましていました。さらに、悪意のあるGitHubリポジトリも利用して、これらのマルウェアファミリーを配信していました。コマンド＆コントロール（C2）サーバーは、Astrill VPNと中国のIP範囲から管理されており、北朝鮮の脅威アクターによるAstrill VPNの利用は以前から確認されています。

「Wagemole」キャンペーンとの関連性

この「PurpleBravo」キャンペーンは、「Wagemole」（別名PurpleDelta）と呼ばれる別のキャンペーンを補完するものです。「Wagemole」では、北朝鮮のITワーカーが詐欺的な身元や盗まれた身元で、米国やその他の地域の組織に不正に雇用を求め、金銭的利益とスパイ活動の両方を目的としています。

これら二つのクラスターは別々の活動として扱われているものの、両者間には戦術的およびインフラ的な重複が確認されています。例えば、北朝鮮のITワーカーの行動と一致する活動が「PurpleBravo」のオペレーターによって示されたり、北朝鮮のITワーカーに関連するロシアのIPアドレスが「PurpleBravo」のC2サーバーと通信していたり、同じAstrill VPNのIPアドレスが「PurpleDelta」の活動と関連付けられているといった事例があります。

サプライチェーンへの深刻な脅威

「PurpleBravo」から架空の求人オファーを受けた候補者が、会社支給のデバイスでコーディング評価を受けてしまうことで、実質的にその雇用主も危険にさらされるという最悪のケースも発生しています。この事実は、ITソフトウェアのサプライチェーンが、北朝鮮のITワーカーだけでなく、他の脅威アクターによる侵入に対しても脆弱であることを浮き彫りにしています。

多くの潜在的な被害組織が大規模な顧客基盤を持っているため、これらの地域でアウトソーシングを行っている企業にとっては、サプライチェーンに深刻なリスクをもたらします。北朝鮮のITワーカーによる雇用脅威は広く知られていますが、「PurpleBravo」によるサプライチェーンリスクも同様に注意を払い、組織が機密データの漏洩を防ぐための準備と防御を行う必要があると報告書は強調しています。

---

元記事: https://thehackernews.com/2026/01/north-korean-purplebravo-campaign.html