GSCは、北朝鮮のハッカー集団「キムシュキー」が新たなフィッシング攻撃でAI生成の偽軍人身分証明書を使用していると警告しており、これは過去のClickFix戦術からの転換を示している。
悪名高い北朝鮮のハッカー集団「キムシュキー」は、人工知能(AI)ツールで作成された偽の軍人身分証明書を用いて、最新のフィッシング攻撃を実行している。サイバーセキュリティ企業Genians Security Center(GSC)によると、これは同集団の過去のClickFix戦術から新たな一歩を踏み出したものだ。ClickFix戦術はこれまで、偽のセキュリティポップアップを表示して被害者を欺き、悪意のあるコマンドを実行させていた。
この新たな手法は、2025年7月に初めて検知されました。当時、攻撃者は正規の韓国防衛機関からのメールを装って送信しました。これらのメッセージは注目を集めることを目的としており、通常は軍人向けの新しいIDカードに関するメールを装っていました。
最初の画像は、脅威アクターが送信したオリジナルのフィッシングメールです(出典:GSC)。2つ目の画像は、Hackread.comがAI画像翻訳ツールの助けを借りて翻訳したものです。
このおとりは、本物の軍人身分証明書の草稿と思われるZIPファイルです。しかし、落とし穴があります。身分証明書に使用されている、本物らしく見える写真は本物ではないのです。これはAI生成ディープフェイクであり、ChatGPTなどの広く利用可能なAIツールを使用して作成された、ほぼ98%の偽物である確率を誇ります。
AI生成の偽軍人身分証明書(出典:GSC)
何も知らない人がこのファイルを開くと、真の攻撃が始まります。隠された悪意のあるプログラムが即座にバックグラウンドで実行を開始します。��検出を回避するため、数秒待ってから、リモートサーバー「jiwooeng.co.kr」から「LhUdPC3G.bat」という悪意のあるファイルを密かにダウンロードします。
ハッカーたちはバッチファイルとAutoItスクリプトの両方を用いて、HncAutoUpdateTaskMachineという悪意のあるタスクをインストールし、Hancom Officeのアップデートを装って7分ごとに実行させます。研究者たちは、ハッカーたちが他の攻撃でも同様の戦術を用いており、「Start_juice」や「Eextract_juice」といった特徴的な文字列がコードに出現していることを指摘しています。
このディープフェイク軍人ID攻撃キャンペーンは、Kimsukyグループが常に戦術を変えていることを示しています。彼らは、よりソーシャルエンジニアリングを駆使したおとりを使って、被害者に一連のスクリプトを実行させ、コンピュータを侵害することで同じ目的を達成しています。
このグループがAIを悪用したのは今回が初めてではありません。2025年6月、[OpenAI]は、北朝鮮の脅威アクターがAIを使って偽のIDを作成し、技術職の採用面接に合格したと報告しました。中国、ロシア、イランのハッカーも同様の活動にAIツール、特にChatGPTを悪用しています。
結局のところ、この最新の攻撃は、より高度なセキュリティの必要性を浮き彫りにしています。GSCによると、エンドポイント検出および対応(EDR)などのシステムは、悪意のある活動を難読化されたスクリプトで隠蔽するこの種の攻撃を検知・無効化するために不可欠です。