北朝鮮ハッカー、UAV産業を標的に機密データを窃取
ESETの研究者たちは、無人航空機(UAV)技術を専門とするヨーロッパの防衛企業を標的とした高度なサイバースパイ活動を明らかにしました。この攻撃は、北朝鮮と関連するLazarusグループが「Operation DreamJob」の下で実行したもので、ドローン産業の主要企業から独自の製造データと設計仕様を窃取するための組織的な取り組みを示しています。
2025年3月下旬に始まったこのキャンペーンは、南東ヨーロッパおよび中央ヨーロッパの少なくとも3つの防衛請負業者を標的に成功しました。侵害された企業には、金属工学企業、航空機部品メーカー、そしてUAVの開発と生産に深く関わる専門の防衛企業が含まれていました。この作戦は、北朝鮮のサイバー能力における重要な進化を示しており、軍事近代化に不可欠な特定の技術分野に対する標的型アプローチが強化されていることを示しています。
「Operation DreamJob」の手口
「Operation DreamJob」は、Lazarusグループが好む攻撃手法、すなわち「名誉ある雇用機会」を装ったソーシャルエンジニアリングの誘惑と同義となっています。2020年にClearSkyのセキュリティ研究者によって初めて特定されたこのキャンペーンは、高給の求人という普遍的な魅力を利用して標的組織を侵害します。
今回の最新の攻撃では、被害者は巧妙に作成された偽の文書を受け取りました。これには、求人情報とトロイの木馬化されたPDFリーダーが同梱されており、正当性を装いつつ初期アクセスを確立する二重のアプローチが用いられました。攻撃者は、GitHubから入手したオープンソースプロジェクトに悪意のあるローディングルーチンを組み込むことで、顕著な技術的洗練度を示しました。BinMergeLoaderはMicrosoft Graph APIを活用し、認証にMicrosoft APIトークンを使用します。
2025年を通じて、このキャンペーンはトロイの木馬化されたバージョンのTightVNC Viewer、MuPDFリーダー、およびWinMergeプラグインやNotepad++拡張機能を含む人気のある開発ツールを利用しました。特に注目すべき兆候は、「DroneEXEHijackingLoader.dll」という内部DLL名を含むドロッパーの出現でした。これは、キャンペーンがUAV関連の知的財産窃取に明確に焦点を当てていることを直接示唆しています。
北朝鮮のドローン開発拡大と攻撃の背景
この作戦のタイミングと標的は、北朝鮮が国内のドローン製造能力を拡大しているという文書化された事実と正確に一致しています。最近のインテリジェンスによると、平壌は偵察プラットフォームのSaetbyol-4や戦闘ドローンのSaetbyol-9など、高度なUAVシステムの開発に多額の投資を行っています。これらの航空機は、アメリカのRQ-4 Global HawkやMQ-9 Reaperといった対応機と驚くほど類似しており、リバースエンジニアリングと知的財産取得への広範な依存を示唆しています。
地政学的要因もこれらの攻撃をさらに文脈化しています。2025年に「Operation DreamJob」の活動が観測された当時、北朝鮮軍はウクライナでロシア軍と共に展開しており、標的となった企業が製造したUAVシステムを含む西側の軍事装備に最前線で触れていました。この戦場での経験が、現在紛争地帯に配備されているシステムの詳細な技術仕様と製造プロセスを入手しようとする動機となった可能性が高いです。
ScoringMathTea:Lazarusの永続的なペイロード
観測されたすべての攻撃で展開された主要なマルウェアは、ScoringMathTeaでした。これは、2022年後半から「Operation DreamJob」キャンペーンにおけるLazarusの主力ペイロードとして機能してきたリモートアクセス型トロイの木馬(RAT)です。この洗練されたRATは、約40の異なるコマンドをサポートしており、攻撃者はファイルの操作、任意のコードの実行、システム情報の収集、そしてWordPressホスティングプラットフォームを装った侵害されたサーバーを介した永続的なコマンド&コントロール通信を維持することができます。
この作戦は、機密性の高い技術分野における重大な脆弱性を浮き彫りにしています。「Operation DreamJob」の手口が広範に報道されているにもかかわらず、ソーシャルエンジニアリングの脅威に対する従業員の意識は依然として不十分です。これらのキャンペーンが継続的に成功していることは、標的組織が堅牢な採用検証プロセスと従業員のセキュリティ意識向上プログラムの導入に苦慮し続けていることを示唆しています。
IoC (Indicators of Compromise)
- 28978E987BC59E75CA22562924EAB93355CF679E TSMSISrv.dll Win64/NukeSped.TL QuanPinLoader.
- 5E5BBA521F0034D342CC26DB8BCFECE57DBD4616 libmupdf.dll Win64/NukeSped.TE MuPDFレンダリングライブラリv3.3.3を装ったローダー。
- B12EEB595FEEC2CFBF9A60E1CC21A14CE8873539 radcui.dll Win64/NukeSped.TO RemoteApp and Desktop Connection UI Componentライブラリを装ったドロッパー。
- 26AA2643B07C48CB6943150ADE541580279E8E0E HideFirstLetter.DLL Win64/NukeSped.TO BinMergeLoader.
- 0CB73D70FD4132A4FF5493DAA84AAE839F6329D5 libpcre.dll Win64/NukeSped.TP トロイの木馬化されたlibpcreライブラリであるローダー。
- 03D9B8F0FCF9173D2964CE7173D21E681DFA8DA4 webservices.dll Win64/NukeSped.RN Microsoft Web Services Runtimeライブラリを装ったドロッパー。
- 71D0DDB7C6CAC4BA2BDE679941FA92A31FBEC1FF N/A Win64/NukeSped.RN ScoringMathTea.
- 87B2DF764455164C6982BA9700F27EA34D3565DF webservices.dll Win64/NukeSped.RW Microsoft Web Services Runtimeライブラリを装ったドロッパー。
- E670C4275EC24D403E0D4DE7135CBCF1D54FF09C N/A Win64/NukeSped.RW ScoringMathTea.
- B6D8D8F5E0864F5DA788F96BE085ABECF3581CCE radcui.dll Win64/NukeSped.TF RemoteApp and Desktop Connection UI Componentライブラリを装ったローダー。
- 5B85DD485FD516AA1F4412801897A40A9BE31837 RCX1A07.tmp Win64/NukeSped.TH 暗号化されたScoringMathTeaのローダー。
- B68C49841DC48E3672031795D85ED24F9F619782 TSMSISrv.dll Win64/NukeSped.TL QuanPinLoader.
- AC16B1BAEDE349E4824335E0993533BF5FC116B3 cache.dat Win64/NukeSped.QK 復号化されたScoringMathTea RAT。
- 2AA341B03FAC3054C57640122EA849BC0C2B6AF6 msadomr.dll Win64/NukeSped.SP Microsoft DirectInputライブラリを装ったローダー。
- CB7834BE7DE07F89352080654F7FEB574B42A2B8 ComparePlus.dll Win64/NukeSped.SJ Microsoft Web Services Runtimeライブラリを装ったトロイの木馬化されたNotepad++プラグイン。VirusTotalからのドロッパー。
- 262B4ED6AC6A977135DECA5B0872B7D6D676083A tzautosync.dat Win64/NukeSped.RW ディスクに暗号化されて保存された復号化されたScoringMathTea。
- 086816466D9D9C12FCADA1C872B8C0FF0A5FC611 N/A Win64/NukeSped.RN ScoringMathTea.
- 2A2B20FDDD65BA28E7C57AC97A158C9F15A61B05 cache.dat Win64/NukeSped.SN トロイの木馬化されたNPPHexEditorプラグインとして構築されたBinMergeLoaderに類似したダウンローダー。
対策と推奨事項
UAV技術を開発する企業にとって、このキャンペーンは競争優位性と軍事能力に対する直接的な脅威となります。北朝鮮がドローンプログラムの拡大を加速させ、専用のUAV製造施設の建設を開始していると報じられる中、西側の防衛請負業者にとってサイバーセキュリティ体制を強化する圧力はかつてないほど高まっています。
航空宇宙、エンジニアリング、防衛分野の組織は、採用関連の通信の検証を優先し、「Operation DreamJob」キャンペーンに特徴的なトロイの木馬化されたアプリケーションや悪意のあるDLLサイドローディング技術を特定できる高度なエンドポイント検出システムを導入する必要があります。