概要
北朝鮮に関連する脅威アクターグループ「WaterPlum」のCluster Bが、新たな戦術を導入し、Node.jsベースのRAT(リモートアクセス型トロイの木馬)および情報窃取マルウェアである「OtterCandy」を拡散しています。このマルウェアは「ClickFake Interview」キャンペーンを通じて配布され、2025年8月には大幅な機能強化が確認されました。
「ClickFake Interview」キャンペーンのメカニズム
WaterPlumは「Contagious Interview」と「ClickFake Interview」という二つの主要なキャンペーンを展開しています。Cluster B(別名BlockNovasクラスター)は、独自のツール開発で知られ、今回の「ClickFake Interview」キャンペーンでは、偽のWebコンテンツを利用してターゲットを悪意のあるページに誘導します。被害者は「ClickFix」という偽の面接プラットフォームにアクセスし、面接アプリケーションやドキュメントに見せかけたマルウェアのダウンロードを促されます。
歴史的にCluster BはWindows向けにGolangGhost、macOS向けにFrostyFerretを配布していましたが、2025年7月以降、OtterCandyがWindows、macOS、Linuxシステム全体で主要なインプラントとして登場しました。これは、検出と帰属を困難にするためのWaterPlumの広範な戦略の一環です。
OtterCandyの技術的分析
OtterCandyはNode.jsで開発されており、リアルタイムのコマンド&コントロール(C2)通信にSocket.IOライブラリを利用しています。このマルウェアは、認証情報の窃取、仮想通貨ウォレットの抽出、侵害されたデバイスからの機密文書の抜き取りなど、様々なコマンドを実行します。
OtterCandyは持続性のためにセカンダリインプラントであるDiggingBeaverに依存していますが、SIGINTイベントを受信するとNode.jsのprocess.onハンドラを介して自身を再起動する自己復活メカニズムも備えています。
2025年8月のアップデート:v1からv2へ
2025年8月の監視期間中、アナリストはOtterCandyがv1からv2へと大幅な改訂を経たことを確認しました。これらの強化は、Cluster Bがマルウェアの改善と回避技術に注力していることを示しています。
- client_idの追加: v1では「username」フィールドで被害者を識別していましたが、v2では一意の「client_id」が追加され、感染ホストのより正確な追跡と大規模なボットネットの制御が効率化されました。
- 窃取対象の拡大: v1では4つのブラウザ拡張機能IDを標的としていましたが、v2では7つに拡大され、侵害されるアーティファクトの範囲が広がりました。また、v1でのChromiumベースのブラウザからの部分的なデータ抜き取りは、v2では利用可能な全てのユーザーデータの包括的な抽出に置き換えられました。
- 痕跡削除の強化: v2ではクリーンアップルーチンが強化されました。新しい
ss_delコマンドは、DiggingBeaverが使用するレジストリキーだけでなく、関連するファイルやディレクトリも削除し、フォレンジック証拠を消去してインシデント対応を妨害することを目的としています。
影響と推奨事項
OtterCandyの出現は、Cluster Bの高度化とWaterPlumがもたらす脅威の進化を浮き彫りにしています。特に日本で攻撃が記録されている高リスク分野の組織は、警戒を強化する必要があります。
- Node.jsベースの異常やSocket.IOトラフィックパターンの監視を強化してください。
- 重複するclient_idシグネチャや予期せぬレジストリ変更に対するプロアクティブな脅威ハンティングを実施してください。
- 継続的な脅威インテリジェンスの共有と、開発フレームワークのタイムリーなパッチ適用が不可欠です。
- 異常なプロセス活動を検出できる行動分析ツールを導入し、厳格なアプリケーションホワイトリスティングを適用し、ブラウザ拡張機能の定期的な監査を実施してください。
WaterPlumのCluster Bがマルウェアの武器庫を洗練させるにつれて、防御側は動的分析をセキュリティ運用に統合し、業界の仲間との協力を促進することで適応する必要があります。OtterCandyの進化を継続的に監視することが、「ClickFake Interview」キャンペーンの次の波を軽減するために不可欠となるでしょう。