北朝鮮ハッカーら、暗号資産狙った攻撃で新たなmacOSマルウェアを使用 | Codebook|Security News
セキュリティニュース
サイバーインテリジェンス
特集
情報セキュリティ
Codebook|Security News > Articles > Threat Report > デイリーサイバーアラート > 北朝鮮ハッカーら、暗号資産狙った攻撃で新たなmacOSマルウェアを使用

デイリーサイバーアラート

AI

ClickFix

Silobreaker-CyberAlert

北朝鮮ハッカーら、暗号資産狙った攻撃で新たなmacOSマルウェアを使用

佐々山 Tacos

佐々山 Tacos

2026.02.12

北朝鮮ハッカーら、暗号資産狙った攻撃で新たなmacOSマルウェアを使用

BleepingComputer – February 10, 2026

北朝鮮ハッカーらが、新たな複数のマルウェアとディープフェイクを用いたソーシャルエンジニアリングを使って暗号資産業界の組織を標的にしているという。Google Mnaidantが報告した。

 

Mandiantは最近、同業界のあるフィンテック企業を狙った侵入事案について調査。この攻撃を、UNC1069に関連付けた。UNC1069は金銭的な動機を持つ脅威アクターで、遅くとも2018年から活動しているとされる。

 

Mandiantによれば、この攻撃は以下のような流れで行われたという。

 

①被害企業の従業員(以下、「被害者」)が、ある暗号資産会社の幹部のTelegramアカウントからメッセージを受信。なおこのアカウントはそれ以前にUNC1069によって侵害されており、同アクターの制御下にあった。

 

②メッセージのやり取りを通じて信頼関係を築くと、UNC1069は被害者にZoomミーティングのリンクに見せかけたCalendlyのリンクを共有。

 

③被害者がこのリンクをクリックすると、UNC1069のインフラ(zoom[.]uswe05[.]us)上に設けられた偽のZoomミーティングページへ移動。この「ミーティング」においてUNC1069は別の暗号資産会社のCEOを再現した動画を表示させた。この映像は、ディープフェイクで作成されたものとみられる。

 

④UNC1069はこの偽映像を使うことで「音声の問題」が発生しているとの印象を被害者に与え、「トラブルシューティング」のためとしてWebページ上に表示されたコマンドを使用するよう指示。コマンドは、Windows用とmacOS用の両方が用意されていた。

 

⑤このClickFix戦術に騙された被害者が指示通りにコマンドを実行すると、マルウェア感染チェーンが開始された。

 

なお、ディープフェイクとClickFixを組み合わせた同様の手法は2025年半ばにもHuntressにより報告されている。この攻撃は別の北朝鮮アクターBlueNoroff(別称:Sapphire Sleet、TA44)に関連づけられており、Mandiantが報告したのとは別のペイロード一式を使ってmacOSシステムを狙っていたとされる。詳しくはこちらの記事で:

北朝鮮ハッカーがZoom会議でディープフェイクの企業幹部を操り、Macマルウェアをインストールさせる

 

Mandiantによれば、上記の流れで感染チェーンが始まった後、AppleScriptが実行され、Mach-Oバイナリが展開されたのち、以下7種類のマルウェアファミリーが実行されたという。

 

  • WAVESHAPER:C++のバックドアで、ホストシステム情報の収集、C2との通信、続くペイロードのダウンロードおよび実行などを担う。

 

  • HYPERCALL:Goベースのダウンローダーで、悪意ある動的ライブラリをダウンロードし、それらをリフレクティブにメモリにロードする。

 

  • HIDDENCALL:HYPERCALLによりインジェクトされるGoベースのバックドア。ハンズオンキーボードアクセスを可能にするほか、コマンド実行およびファイル操作に対応しており、追加のマルウェアの展開も担う。

 

  • SILENCELIFT:ミニマルなC/C++のバックドア。ホスト情報とロック画面のステータスをハードコードされたC2サーバーへ送信するほか、root権限で実行された場合にはTelegram通信を妨害する。

 

  • DEEPBREATH:HIDDENCALLにより展開されるSwiftベースのデータマイナー。キーチェーン認証情報、ブラウザデータ、Telegramデータ、Apple Notesデータを摂取する。

 

  • SUGARLOADER:C++のダウンローダーで、次段階のCHROMEPUSHペイロードを展開する。

 

  • CHROMEPUSH:C++のブラウザデータマイナー。キーストローク、認証情報、クッキーを収集するほか、スクリーンショットの取得も可能。

 

Mandiantによれば、SILENCELIFT、DEEPBREATH、CHROMEPUSHはUNC1069の新たなツールセットであるとされる。これら3つとHYPERCALLはVirusTotalに提出されていないとみられるが、SUGARLOADERとWAVESHAPERは同マルウェアデータベース内で見つかっているという。

 

Mandiantは上記6種について、単一の個人を標的に単一のホストへ展開されたマルウェアの量としては異例であると説明。このことは、今回の攻撃ができる限り多くのデータを収集することに重点をおいた標的型攻撃だったことを裏付けているという。データ収集の目的は暗号資産の窃取と、被害者の身元やデータを活用した将来的なソーシャルエンジニアリング攻撃の促進の2つであると推測されている。

 

Mandiantのブログ記事では、各マルウェアのさらなる詳細やIoC、YARAルールなどが確認できる。

関連記事

デイリーサイバーアラート

AI

Silobreaker-CyberAlert

ディープフェイク

北朝鮮ハッカーがZoom会議でディープフェイクの企業幹部を操り、Macマルウェアをインストールさせる

佐々山 Tacos

佐々山 Tacos

2025.06.19

AI

Silobreaker-CyberAlert

ディープフェイク

【無料配布中レポート】

各種レポートを無料配布中!バナー画像よりダウンロード可能です。

【最新版】インテリジェンス要件定義に関するガイドブック

地政学レポート

OSINT関連レポート

ディープ&ダークウェブレポート

Special Feature特集記事

セミナー情報一覧へ ANALYST CHOICEの記事一覧へ

Cyber Intelligenceサイバーインテリジェンス

このカテゴリーの記事一覧へ
このカテゴリーの記事一覧へ

Security情報セキュリティ

このカテゴリーの記事一覧へ
このカテゴリーの記事一覧へ