✅ タイトル: APT Down：北朝鮮関連ファイル ― 『Phrack』の公開データ分析と脅威の背後関係の追跡

✅ レポート概要:

S2W脅威インテリジェンスセンター（TALON）は、2025年8月に開催された「DEFCON」で配布されたハッキング関連雑誌『Phrack』に掲載された記事「APT Down: The North Korea Files」とともに公開された関連データを入手し、分析を実施しました。

• Phrack Magazine: 1985年に米国で創刊された、世界で最も歴史のあるハッキング専門のオンラインマガジン

📌 流出ファイルの分析結果

- 内部データを詳細に分析した結果、韓国政府と民間企業を標的としたハッキング関連情報が多数含まれていることが確認されました。
  (Government)

- ウェブメールソリューションに関連するプロジェクトのソースコードが多数含まれており、韓国外交部（外務省に相当）で使用されていると見られる設定情報とソースコードが確認されました。

- 韓国の行政電子署名証明書（GPKI）に関連する文書、ソースコード、証明書ファイルなどが確認されました。

- 韓国政府のクラウド業務管理システムに関連するログイン用ソースコードとログ記録が確認されました。

- 韓国政府に関連するフィッシングメールの送信に関与したと見られるログが確認されました。

  (Telecom)

- 韓国の通信事業者に関する内部アカウント情報や証明書などが確認されました。

  (ALL)

- config.phpファイル内のAnti-Virus IPブラックリストに、特定のIPレンジが含まれたソースコードが確認されました。

- 韓国の主要企業ドメインを標的としたフィッシング攻撃と関連ツールが確認されました。

📌 背後関係の追跡結果

- S2W脅威インテリジェンスセンター（TALON）の分析によると、レポート上で攻撃者として言及されている「KIM」は、北朝鮮の背後組織とされる脅威グループ「Kimsuky」との関連性は高くないとの判断に至りました。S2Wはこの攻撃者の背後グループを「UNSI-018」と命名し、追跡を行っています。

  (インフラ利用パターン)

- 攻撃者「KIM」が使用したフィッシング用インフラ（ドメインとIP）には、過去に「Kimsuky」グループが使用したものと一部重複する要素が確認されました。しかし、インフラの使用時期とフィッシングインフラの構成手法は、従来の「Kimsuky」グループのものとは異なると判断されました。

- 公開されているオープンソースツール「evilgophish」に含まれるApache構成ファイルを使用してフィッシング用インフラが構築されたことが確認されましたが、「Kimsuky」グループが同オープンソースを使用した事例は確認されていません。

- 攻撃者はフィッシングメールの配信時にビーコン画像を挿入し、メールの開封状況を確認できるよう設計していました。この手法は、過去に「Kimsuky」グループが使用した事例が存在します。

  (GPKI窃取の痕跡)

- 「Kimsuky」グループが使用するマルウェア「Troll Stealer」には、窃取対象としてGPKIキーが含まれていますが、今回流出したGPKIキーが当該マルウェアによって窃取されたとする明確な痕跡は確認されていません。

  (環境分析)

- 流出したデータに基づいて攻撃者の業務環境を分析した結果、攻撃者は中国語環境に慣れた人物であると推測されます。

- 代表的な中国の検索エンジン「Baidu」、サイバーセキュリティ関連のブログ「CSDN」や「Freebuf」、動画配信プラットフォームの「AcFun」や「Bilibili」など、中国語圏のプラットフォームを翻訳なしで利用しており、中国語以外の言語についてはGoogle翻訳を使って簡体字中国語に翻訳していることが確認されました。

- 「Baidu Cloud」を使用していたことが確認されました。「Baidu Cloud」は、中国の身分証明書やパスポートなどによって本人確認を完了したBaiduアカウント保有者のみに提供される限定的なクラウドサービスです。

- ソースコード内のコメントおよび個人的な用途の文書が中国語で記述されていました。

🧑‍💻 レポート作成者: S2W 「TALON」

👉 レポートに関するお問い合わせ: https://s2w.inc/ja/contact

*当該レポートは、S2Wのプラットフォームにて提供されます。詳細に関してはお問い合わせください。