ペンテストツール「RedTiger」ベースのスティーラーがDiscordアカウントを標的に

2025年10月25〜27日：サイバーセキュリティ関連ニュース

ペンテストツール「RedTiger」ベースのスティーラーがDiscordアカウントを標的に

BleepingComputer – October 26, 2025

オープンソースのレッドチームツール「RedTiger」を使って構築されたインフォスティーラーが、Discordアカウントのデータや決済情報の窃取に使用されているという。Netskope社が報告した。

RedTigerはPythonベースのWindowsおよびLinux向けペネトレーションテストスイートで、GitHubで無料配布されている。ネットワークのスキャン、パスワードのクラッキング、OSINT関連の複数ユーティリティ、Discordに特化したツール群、マルウェアビルダーに関するオプションなどがバンドルされているが、このうちRedTigerのインフォスティーラーコンポーネントはシステム情報やブラウザクッキー、パスワード、暗号資産ウォレットファイル、ゲームファイル、RobloxおよびDiscordのデータを窃取する標準的な性能を備えるほか、Webカメラのスナップショットを取得したり、感染したマシンのスクリーンショットを撮影したりすることもできるという。

RedTigerのGitHubページには「合法利用のみ」と記されているものの、安全対策が欠如しているため容易に悪用可能な状態で、現にNetskopeによれば、脅威アクターたちが同ツールのインフォスティーラーコンポーネントを使ってスタンドアローンのバイナリを作成し、フランスを中心にDiscordアカウント保有者を標的にしているという。RedTigerのコードを用いてうくられたこのマルウェアには、ゲーム関連またはDiscord関連の名称が付けられており、Discordチャンネルや悪意あるソフトウェアダウンロードサイト、フォーラムの投稿、マルバタイジング、YouTube動画などを通じて配布されているものとみられる。

このマルウェアは被害者のマシンにインストールされると、Discordおよびブラウザデータベースファイルを探すためにスキャンを開始。正規表現を用いて認証トークンを抽出・検証するほか、プロフィールやEメール、多要素認証、サブスクリプションの情報を収集する。また、APIコールを傍受し、ログイン試行や購入、パスワード変更などを含むさまざまなイベントをキャプチャ。Discordに保管されたPayPal情報やクレジットカード情報などのペイメント情報も抜き取る。集めたデータのファイルはアーカイブ化され、匿名でのアップロードが可能なクラウドストレージサービス「GoFile」にアップロードされる。その後、同アーカイブをダウンロードするためのリンクが被害者のメタデータとともにDiscordのWebフック経由で攻撃者の元へ送付されるという。

ユーザーには、同マルウェアへの感染を避けるため、「trainers」「boosters」といったModや実行ファイルを検証されていないソースからダウンロードしないようにすることが推奨されている。RedTigerのIoCはNetskopeのGitHubページで確認可能。

北朝鮮ハッカーがヨーロッパのドローン企業などを標的に：Operation Dream Job

SecurityWeek – October 24, 2025

北朝鮮の国家支援型グループLazarusによるキャンペーン「Operation Dream Job」の新たな攻撃事例について、ESETが報告。この攻撃で標的になったのは、無人航空機（UAV）部門のヨーロッパ企業数社だったという。

Diamond Sleet、Hidden Cobra、Zincといった名称でも追跡されているLazarus Groupはここ5年間ほど、偽の求人広告を使ったソーシャルエンジニアリングの戦術により、航空宇宙・防衛・工学・メディア・エンターテインメント・テクノロジー部門の個人を標的にしてきた。この魅力的な求人（dream job）はターゲット従業員のシステムをバックドアに感染させるためのもので、これが成功するとLazarusは当該組織の内部に足場を作り、知的財産などの機微な情報を盗み出すことができるようになる。

ESETによれば、このキャンペーン「Operation Dream Job」の一環として、2025年3月からヨーロッパの防衛関連企業が狙われ始めたという。Lazarusはこうした企業の従業員に対し、偽の求人オファーを使って職務内容を記した囮となるドキュメントを送付。ドキュメントにはトロイの木馬化されたオープンソースのPDFリーダーが添付されており、これによってターゲット従業員はリモートアクセス型トロイの木馬「ScoringMathTea」に感染することになるという。

ESETによれば、これらの攻撃は北朝鮮兵がクルスク地方におけるウクライナ軍の攻勢を撃退するためロシアで活動していたとされる時期と重なっており、Lazarusの主目的はヨーロッパ諸国によるウクライナへの軍事支援の一環として同国で配備された兵器システムに関する情報の収集だった可能性があるという。一方で、被害者の中には北朝鮮が国内生産する資材を製造する企業も含まれており、侵入行為は設計・工程の完成度向上のための情報収集を目的としている可能性もあるとされる。

また、被害者のうち少なくとも2社はUAV関連の企業であり、このうち1社はドローンの重要部品を製造しており、もう1社はUAV関連ソフトウェアの開発に従事していると報じられている。北朝鮮はロシア・ウクライナ戦争における現代戦の実戦経験を踏まえドローン計画を強化中であり、ロシアの支援を受けてイラン製シャヘドドローンの国産化や、輸出向け低コスト攻撃用UAVの生産を進めているとの報道があるが、ESETは「（Lazarusの）UAV関連のノウハウに対する関心は注目に値する」と述べ、報道内容と符合していると指摘した。

さらに、今回のキャンペーンで使用されるドロッパーの1つが「DroneEXEHijackingLoader.dll」という内部DLL名を有していることも、これらの攻撃が（少なくとも部分的には）UAV関連の専有情報や製造ノウハウの窃取を目的としたものであるとの仮説を強めているとのこと。