概要:進化する脅威「OtterCandy」
北朝鮮に関連するグループ「WaterPlum」の「Cluster B」が、その戦術を進化させ、Node.jsベースのRAT(リモートアクセス型トロイの木馬)および情報窃取マルウェアである「OtterCandy」を「ClickFake Interview」キャンペーンを通じて展開しています。特に2025年8月には、このマルウェアに大幅な機能強化が確認されました。
「BlockNovas」クラスターとも呼ばれるCluster Bは、独自のツール開発に特化しており、今回新たに発見されたOtterCandyもその一つです。このキャンペーンは、WaterPlumが検出と帰属を困難にするために、共有マルウェアフレームワークと独自のマルウェアを交互に使用する「カルーセルエクスプロイト」戦略の一環として位置づけられています。
「ClickFake Interview」キャンペーンの詳細
「ClickFake Interview」キャンペーンは、欺瞞的なウェブコンテンツを利用して、疑うことを知らないターゲットを悪意のあるページに誘導します。被害者は、面接プラットフォームを装った「ClickFix」というウェブページにアクセスさせられ、そこで面接アプリケーションや文書に見せかけたファイルをダウンロードするよう促されます。
歴史的に、Cluster BはWindows向けに「GolangGhost」、macOS向けに「FrostyFerret」を配布していましたが、2025年7月以降、OtterCandyがWindows、macOS、Linuxシステム全体で主要なインプラントとして登場しました。
OtterCandyの技術的分析
OtterCandyはNode.jsで開発されており、リアルタイムのC2(コマンド&コントロール)通信にはSocket.IOライブラリを利用しています。このマルウェアのサンプルは2025年2月にVirusTotalで初めて確認されましたが、当初は誤って「OtterCookie」とタグ付けされていました。
C2接続が確立されると、OtterCandyは資格情報の窃取やシステム偵察を目的とした様々なコマンドを受け入れます。Cluster Bのオペレーターは、これらの機能を利用して、ブラウザの資格情報、暗号通貨ウォレット、および侵害されたデバイスからの機密文書を収集します。OtterCandyは永続性を維持するためにセカンダリインプラント「DiggingBeaver」に依存していますが、SIGINTイベントを受信するとNode.jsのprocess.onハンドラを介して自身を再起動する自己復活メカニズムも備えています。
2025年8月のアップデート:v1からv2へ
2025年8月の監視期間中、アナリストはOtterCandyがv1とv2という2つのバージョンに分かれる大幅な改訂を経たことを確認しました。これらの強化は、Cluster Bが反復的な改善と回避技術に注力していることを示しています。
- クライアントIDの追加:v1では「username」フィールドで被害者を識別していましたが、v2では一意の「client_id」が追加され、感染ホストのより正確な追跡と、大規模なボットネットに対するオペレーターの制御が合理化されました。
- 窃取ターゲットの拡大:v1が4つの拡張機能IDをターゲットにしていたのに対し、v2ではその範囲が7つに拡大され、侵害されるアーティファクトの幅が広がりました。さらに、v1でのChromiumベースのブラウザからの部分的なデータ流出は、v2では利用可能なすべてのユーザーデータの包括的な抽出に置き換えられ、窃取される情報の範囲が拡大しています。
- 痕跡削除の強化:v2ではクリーンアップルーチンも強化されています。新しい
ss_delコマンドは、DiggingBeaverが永続性のために使用するレジストリキーを削除するだけでなく、関連するファイルやディレクトリもパージします。これらの追加は、フォレンジック証拠を消去し、インシデント対応の取り組みを妨害し、ステルス性を長期間維持することを目的としています。
影響と推奨事項
OtterCandyの出現は、Cluster Bの高度化とWaterPlumがもたらす脅威の進化を浮き彫りにしています。特に日本国内で攻撃が記録されている高リスク分野の組織は、Node.jsベースの異常やSocket.IOトラフィックパターンに対する監視を強化する必要があります。
重複するclient_idの署名や予期せぬレジストリ変更に対するプロアクティブな脅威ハンティングは、検出を迅速化できます。継続的な脅威インテリジェンスの共有と開発フレームワークのタイムリーなパッチ適用は依然として重要です。セキュリティチームは、異常なプロセス活動を検出できる行動分析ツールを導入し、厳格なアプリケーションホワイトリストを適用し、ブラウザ拡張機能のインベントリを定期的に監査することが推奨されます。
WaterPlumのCluster Bがマルウェアの武器庫を改良するにつれて、防御側はセキュリティ運用に動的分析を統合し、業界の仲間との協力を促進することで適応する必要があります。OtterCandyの進化を継続的に監視することは、次の「ClickFake Interview」攻撃の波を軽減するために不可欠です。