WithSecure(ウィズセキュア)は2026年2月4日、北朝鮮の偵察総局(RGB)関与とされる国家ハッカー集団「Andariel」による侵害事案を確認し、関連するステージングサーバーから新規未公開のRAT(遠隔操作型マルウェア)3件を特定したと明らかにしました。関連する攻撃は2件です。
同社は、TigerRATなどAndariel特有のマルウェア利用、コマンド実行パターン、インフラの関連性、過去活動と一致する指標を根拠に、強い確信をもって帰属判断したとしています。今回見つかった新種RATはStarshellRAT、JelusRAT、GopherRATの3種で、サプライチェーン悪用への継続的関心や、新旧ツールの併用も確認したとしました。
侵害の主目的はサイバー諜報活動で、反マネーロンダリング(AML)文書へのアクセスが確認された点などから、北朝鮮の諜報上の優先事項に沿う動きと判断しています。手口としては、特権昇格に悪用されるPrintSpooferやカスタマイズしたPetitPotato、正規ドライバーを悪用するBYOVD(Bring Your Own Vulnerable Driver)も使われたとしています。
今後も公共・法務セクターや企業、MSP(運用代行事業者)を含む幅広い組織が標的となる可能性があり、同社はエンドポイント可視性の強化、ソフトウェアサプライチェーンの完全性検証、詳細レポートに記載された侵害指標(IoC)の確認を推奨しています。
【関連リンク】
詳細レポート(英語):https://labs.withsecure.com/publications/andariel-2025
ウィズセキュアWebサイト:https://www.withsecure.com/jp-ja
ウィズセキュアプレスページ:https://www.withsecure.com/jp-ja/whats-new/pressroom