はじめに:北朝鮮関連グループによる新たな脅威
北朝鮮に関連する脅威グループ「WaterPlum」の「Cluster B」が、新たな戦術を導入し、Node.jsベースのRAT(リモートアクセス型トロイの木馬)および情報窃取マルウェア「OtterCandy」を「ClickFake Interview」キャンペーンを通じて配信していることが明らかになりました。このキャンペーンは2025年8月に大幅な機能強化が観測されており、脅威の深刻度が増しています。
「ClickFake Interview」キャンペーンの概要
「ClickFake Interview」キャンペーンは、欺瞞的なウェブコンテンツを利用して、疑うことを知らないターゲットを悪意のあるページに誘導します。被害者は「ClickFix」という面接プラットフォームを装ったウェブページにアクセスさせられ、そこで面接アプリケーションやドキュメントに見せかけた悪意のあるファイルをダウンロードするよう促されます。
歴史的に、Cluster BはWindows向けに「GolangGhost」、macOS向けに「FrostyFerret」を配布していましたが、2025年7月以降、OtterCandyがWindows、macOS、Linuxシステム全体で主要なインプラントとして登場しました。これは、検出と帰属を困難にするために、共有マルウェアフレームワークと独自の株を交互に使用するというWaterPlumの広範な戦略を反映しています。
OtterCandyの技術的分析
OtterCandyはNode.jsで開発されており、リアルタイムのコマンド&コントロール(C2)通信にはSocket.IOライブラリを利用しています。OtterCandyの署名に一致するサンプルは、2025年2月にVirusTotalで初めて特定されました。
C2接続が確立されると、OtterCandyは認証情報の窃取やシステム偵察を目的とした様々なコマンドを受け入れます。Cluster Bのオペレーターはこれらの機能を利用して、ブラウザの認証情報、仮想通貨ウォレット、および侵害されたデバイスからの機密文書を窃取します。OtterCandyは永続性を維持するために二次インプラント「DiggingBeaver」に依存していますが、SIGINTイベントを受信するとNode.jsのprocess.onハンドラを介して自身を再起動する自己復活メカニズムも備えています。
2025年8月のアップデート:v1からv2への進化
2025年8月の監視サイクル中に、アナリストはOtterCandyがv1からv2へと大幅な改訂を経たことを確認しました。これらの強化は、Cluster Bが反復的な改善と回避技術に注力していることを示しています。
- client_idの追加: 元のv1リリースでは、OtterCandyは被害者を識別するために「username」フィールドを送信していました。バージョン2では、これに一意の「client_id」が追加され、感染したホストのより正確な追跡と、大規模なボットネットに対するオペレーターの制御が合理化されました。
- 窃取対象の拡大: OtterCandyの主要な機能には、特定のブラウザ拡張機能からのデータ窃取が含まれます。v1では4つの拡張機能IDをターゲットにしていましたが、v2では7つに拡大され、侵害されるアーティファクトの範囲が広がりました。さらに、v1のChromiumベースブラウザからの部分的なデータ抽出は、v2では利用可能なすべてのユーザーデータの包括的な抽出に置き換えられ、窃取される情報の幅が広がっています。
- 痕跡削除機能の強化: バージョン2では、クリーンアップルーチンも強化されています。新しい
ss_delコマンドは、DiggingBeaverが永続性のために使用するレジストリキーを削除するだけでなく、関連するファイルやディレクトリもパージします。これらの追加は、フォレンジック証拠を消去し、インシデント対応の取り組みを妨害し、ステルス性を長引かせることを目的としています。
影響と推奨事項
OtterCandyの出現は、Cluster Bの高度化とWaterPlumがもたらす脅威の進化を浮き彫りにしています。特に日本を含む高リスク分野で活動する組織は、Node.jsベースの異常やSocket.IOトラフィックパターンに対する監視を強化する必要があります。
重複するclient_id署名や予期せぬレジストリ変更に対するプロアクティブな脅威ハンティングは、検出を迅速化できます。継続的な脅威インテリジェンスの共有と開発フレームワークのタイムリーなパッチ適用は依然として重要です。セキュリティチームは、異常なプロセス活動を検出できる行動分析ツールを展開し、厳格なアプリケーションホワイトリスティングを強制し、ブラウザ拡張機能のインベントリを定期的に監査することが推奨されます。WaterPlumのCluster Bがマルウェアの武器庫を改良するにつれて、防御側は動的分析をセキュリティ運用に統合し、業界の仲間との協力を促進することで適応しなければなりません。OtterCandyの進化を継続的に密接に監視することは、「ClickFake Interview」攻撃の次の波を軽減するために不可欠です。