LNKファイルを介して実行されるマルウェアMoonPeak
2026年1月、IIJは韓国のユーザを標的とした攻撃で使用されたと思われる、マルウェアを実行する悪性のLNKファイルを観測しました。マルウェア解析を実施した結果、このLNKファイルは北朝鮮 (DPRK) に帰属するとされる脅威アクター1が用いるマルウェアMoonPeak (マルウェアXenoRATの亜種) を実行するために使用されたことが判明しました。この記事では、既存のレポート等で詳細が取り上げられていない感染フローを中心に、今回観測した攻撃キャンペーンについて紹介します。
1st Stage: LNKファイル
ファイル名: 실전 트레이딩 핵심 비법서.pdf.lnk
(訳: 実戦トレーディングの核心秘伝書.pdf.lnk)
ファイル名から、本LNKファイルは韓国の投資家を標的とした、北朝鮮による外貨獲得のための攻撃で使用された可能性があります2。ユーザによってLNKファイルが開かれると、ファイル内にXORエンコードされた状態で埋め込まれたPDFファイル3 (デコイ) が開かれます。また、難読化されたPowerShellスクリプトがウィンドウ非表示状態 (-WindowStyle Hidden) で実行されます。このPowerShellスクリプトの役割は以下の通りです。
- プロセス名を使用して仮想環境・マルウェア解析環境を検知
hxxp://mid[.]great-site[.]net/realzan/viewpoi.txtからPowerShellスクリプトをダウンロードして実行するPowerShellスクリプトおよびVBScriptを作成- 2のスクリプトを自動実行するタスク
Selling CoinBoruhde Whistling NOprobnl{BD234234324-1243324ADVE}を作成 hxxp://mid[.]great-site[.]net/maith.phpにシステム情報をPOSTリクエストで送信
まず、LNKファイル内のPowerShellスクリプトは以下のプロセスがシステム上で実行されていないか確認し、実行されていた場合は即座に実行を終了します。これはセキュリティ研究者の解析環境やサンドボックス環境で動作しないようにする、動的解析妨害の一種であると考えられます。
- 仮想環境系
vmxnet.exe,vmusrvc.exe,vmsrvc.exe,vmtoolsd.exe,vmwaretray.exe,vboxservice.exe,vboxtray.exe
- 解析環境・サンドボックス系
idaq.exe,idaq64.exe,ilspy.exe,dnspy.exe,resourcehacker.exe,ida.exe,ida64.exe,de4dot.exe,x64dbg.exe,x32dbg.exe,OllyDbg.exe,ImmunityDebugger.exe,Wireshark.exe,Fiddler Everywhere.exe,Fiddler.exe,ProcessHacker.exe,hookexplorer.exe,dumpcap.exe,processlasso.exe,lordpe.exe,petools.exe,WinDump.exe,autoruns.exe,autorunsc.exe,procexp.exe,procexp64.exe,tcpview.exe,tcpview64.exe,Procmon.exe,Procmon64.exe,filemon.exe,regmon.exe,vmmap.exe,vmmap64.exe,portmon.exe
次に、一時フォルダ内にランダムな8文字の名前を持つフォルダを作成して、その中にランダムな8文字の名前 (および拡張子) を持つ図1・図2のようなファイルを作成します。
図1のPowerShellスクリプトは hxxp://mid[.]great-site[.]net/realzan/viewpoi.txt からPowerShellスクリプトをダウンロードして実行する機能を有しています5。この際、ダウンロードされたPowerShellスクリプトは一時フォルダ内に保存されますが、実行後には削除されるように実装されています。
図2のVBScriptは図1のPowerShellスクリプトをウィンドウ非表示状態、かつ、実行ポリシーをバイパスした状態で実行する機能を有しています。
図1・図2のファイルを作成したら、wscript.exe を使用して図2のVBScriptを自動実行するタスク Selling CoinBoruhde Whistling NOprobnl{BD234234324-1243324ADVE} を作成します。
その後、システム情報 (ホスト・ドメイン情報、OSバージョン情報、プロセス一覧など) を hxxp://mid[.]great-site[.]net/maith.php にPOSTリクエストで送信します。この際、PowerShellスクリプト実行時に生成されるランダムな4文字の文字列に加えて、 BEGIN という文字列がサーバに送信されます。また、所定のデータをAES復号 (hxxp://mid[.]great-site[.]net/aes.js からダウンロードしたJavaScriptを使用) してパラメータに付加することも確認しています。正確な用途は不明ですが、脅威アクターに感染ホストの存在を通知するためのエンドポイントである可能性があります。
2nd Stage: PowerShellスクリプト (viewpoi.txt)
図1のPowerShellスクリプトによってダウンロード・実行される viewpoi.txt は raw.githubusercontent.com にアクセスして、GitHubリポジトリ macsim-gun/FinalDocu 内のファイル octobor.docx を取得します。当該GitHubリポジトリについては、弊社がGitHub社に通報を行い、2026年1月14日時点でテイクダウンされています。
なお、コミットにはメールアドレス sandamalmacsim @ gmail[.]com が使用されていました。GitHub上で認証済み (Verified) であったことから、当該メールアドレスも脅威アクターに関係している可能性が高いと考えられます6。
commit d8e96e777de3234e0771e6c53b7c09a659542f12 (HEAD -> main, origin/main, origin/HEAD)
Author: macsim-gun <sandamalmacsim @ gmail[.]com>
Date: Thu Dec 25 10:48:44 2025 +0900
Add files via uploadCode language: HTML, XML (xml)ファイルを取得した後、 octobor.docx の先頭7バイトを 1F 8B 08 00 00 00 00 (GZIPヘッダ) に置換して、そのままGZIP圧縮データとして解凍します。
解凍後のデータは Stella.exe というオリジナルファイル名を持つ実行ファイルであり、PowerShellスクリプト内の Assembly.Load メソッドによってメモリ上で実行されます。
3rd Stage: MoonPeak (Stella.exe)
Stella.exe はConfuserExという著名な難読化ツールを使用して難読化されたマルウェアMoonPeakです。通常の.NETアセンブリは dnSpy や dotPeek といった解析ツールを使用することで、コンパイル前に近しい高水準言語のソースコードを分析 (デコンパイル) することができます。しかし、ConfuserExが使用されている場合、文字列やコードの暗号化によって、解析ツールが正常に動作しない場合や間違った出力が表示される場合があります。
これはConfuserExが有する耐タンパ機能による影響で、モジュールのコンストラクタ <Module>.<Module>() 内でコードを動的に復号してから実行している為です。動的解析によってコードを復号した後のモジュールをメモリ上から抽出して、更にde4dot7のような難読化解除ツールを適用することで、コードを静的解析することが可能です。
解析の結果、今回観測したMoonPeakは以下のような設定情報を有していました。
- Mutex名:
Dansweit_Hk65-PSAccerdle8 - C2サーバ:
27.102.137[.]88:443
機能や仕様等は2025年8月に公開されたTrellixのレポート内で観測・報告されたMoonPeakから大きく変化しておらず、脅威アクターは同一手法およびマルウェアを使用し続けていると考えられます。
The Coordinated Embassy Hunt: Unmasking the DPRK-linked GitHub C2 Espionage Campaign
https://www.trellix.com/blogs/research/dprk-linked-github-c2-espionage-campaign
おわりに
過去に観測された攻撃キャンペーンと同様に、今回も脅威アクターはGitHubリポジトリをマルウェアのホスト元として活用していました。GitHubを含む正規サイトを攻撃で悪用する手法はLOTS (Living Off Trusted Sites) と呼ばれ、多くの脅威アクターによって使用されています。今後も悪用される可能性が高い手法であるため、警戒が必要だと言えるでしょう。
近年、北朝鮮に帰属する脅威アクターは日本を含む世界中の国々を標的とした攻撃活動を実施しており、政府機関や民間企業という主体だけでなく、インターネットユーザ (個人) にとっても重大な脅威であるといえます。我々は今後も北朝鮮に帰属する脅威アクター・攻撃活動・マルウェアの分析を続け、積極的に情報発信を行い、サイバー空間の安全に寄与していきたいと思います。
Appendix: IoCs
ファイル
| SHA256 | ファイル名 |
|---|---|
| 1553bfac012b20a39822c5f2ef3a7bd97f52bb94ae631ac1178003b7d42e7b7f | 실전 트레이딩 핵심 비법서.pdf.lnk |
| aaac6eadac6c325bfc69b561d75f7cfd979ac289de1cc4430c5cc9a9a655b279 | octobor.docx |
| 8de36cb635eb87c1aa0e8219f1d8bf2bb44cad75b58ef421de77dd1aae669bf4 | Stella.exe |
メールアドレス
sandamalmacsim @ gmail[.]com
通信先
- ペイロード配信サーバ
mid.great-site[.]net
octobor.docx配信元hxxps://raw[.]githubusercontent[.]com/macsim-gun/FinalDocu/main/octobor.docx
- MoonPeak C2サーバ
27.102.137[.]88
- Cisco Talosは脅威アクターをUAT-5394としてトラッキングしています。
MoonPeak malware from North Korean actors unveils new details on attacker infrastructure
https://blog.talosintelligence.com/moonpeak-malware-infrastructure-north-korea/ ↩︎ - Trellixの研究者が2025年8月にMoonPeakを使用したサイバーエスピオナージを目的とした攻撃活動について報告しています。使用しているマルウェアや手法の類似性等から、同一の脅威アクターが関係している可能性が高いと考えられるため、今回の攻撃についてもサイバーエスピオナージが目的であった可能性は否定できません。
The Coordinated Embassy Hunt: Unmasking the DPRK-linked GitHub C2 Espionage Campaign
https://www.trellix.com/blogs/research/dprk-linked-github-c2-espionage-campaign/ ↩︎ - ファイル名に近しいタイトルを持つ韓国語の書籍のPDFがデコイとして使用されていました。 ↩︎
- 文字列
TARGET_PS1_PATHは図1のPowerShellスクリプトのファイルパスに置換される。 ↩︎ - 他にも
MID_LOGFOLDER_SUBPATH_PAYLOADを"h6k"で置換するコード等が含まれていましたが、我々が観測したviewpoi.txt内にはMID_LOGFOLDER_SUBPATH_PAYLOADが存在しなかったため、未使用のコードであると考えられます。 ↩︎ - 以下のレポート内で以前の攻撃キャンペーンで悪用されたメールアドレスが公開されています。
The Coordinated Embassy Hunt: Unmasking the DPRK-linked GitHub C2 Espionage Campaign
https://www.trellix.com/blogs/research/dprk-linked-github-c2-espionage-campaign/ ↩︎ - 今回の解析ではde4dotのフォーク版であるde4dot-cexを使用しました。
ViRb3/de4dot-cex – GitHub
https://github.com/ViRb3/de4dot-cex ↩︎ - 以前の攻撃キャンペーンにおいても同じMutex名が使用されていました。
The Coordinated Embassy Hunt: Unmasking the DPRK-linked GitHub C2 Espionage Campaign
https://www.trellix.com/blogs/research/dprk-linked-github-c2-espionage-campaign/ ↩︎