JPEG を武器化する北朝鮮の APT37:多段階攻撃によりmspaint などのプロセスに悪意のコードを挿入

APT37 Hackers Weaponizes JPEG Files to Attack Windows Systems Leveraging “mspaint.exe”

2025/08/04 CyberSecurityNews — 北朝鮮の APT37 (Reaper) グループによる、洗練された新しいサイバー攻撃の波が確認されている。この攻撃は、JPEG イメージ・ファイルに埋め込まれた高度なマルウェアを用いて、Microsoft Windowsシステムを侵害するものであり、セキュリティ回避戦術およびファイル・レス攻撃手法の進化を示す事例でもある。

APT37 が使用する RoKRAT マルウェアの新亜種を特定したのは、Genians Security Center (GCS) のセキュリティ研究者たちである。この新亜種は、従来のバージョンとは異なり、複雑な2段階のシェルコード・インジェクション・プロセスを採用し、フォレンジック分析の回避および、従来のセキュリティ対策の突破を狙って設計されている。

特筆すべき点は、APT37 がステガノグラフィ (Steganography) 技術を用いていることである。このマルウェアのコードは、無害に見える画像ファイルに隠されており、エンドポイント防御における検出を著しく困難にしている。

APT37 のマルウェア感染プロセス

このキャンペーンは、主に韓国を標的としており、 “National Intelligence and Counterintelligence Manuscript.zip “などの名称を持つ、圧縮アーカイブを通じて配布されている。このアーカイブ内には、巨大な Windows ショートカット (.lnk) ファイルが取り込まれ、そこには、以下の要素が埋め込まれている:

  • 無害なルアー・ドキュメント
  • シェル・コードとスクリプト・ファイル
  • PowerShell コマンド (後続ペイロードを復号/実行)

電子メールやインスタント・メッセージ経由で送信される、日常的なファイルに対する利用者の信頼を逆手に取る APT37 は、侵入の成功率を最大化している。

Attack Chain

この多段階による攻撃は、PowerShell を起動するバッチ・スクリプトから開始される。このスクリプトは、XOR 演算を用いて暗号化されたシェルコード・ペイロードを復号し、最終的には Windows の正規プロセスである mspaint.exenotepad.exe などに悪意のコードを挿入していく。

このファイルレスの手法により、フォレンジック的な痕跡が最小限に抑えられ、シグネチャ・ベースのウイルス対策などの、大半のヒューリスティック検出技術の回避を可能にしている。

ステガノグラフィの活用と C2 通信

このマルウェアは、Dropbox や Yandex などのクラウド・ストレージ・プロバイダーを介して配布される、JPEG ファイルの内側に RoKRAT モジュールを隠し持っている。たとえば、以下の “Father.jpg” は、一見すると通常の画像であるが、詳細な分析を行った結果として、画像内部に暗号化されたシェルコードが発見されている。

malicious image

このマルウェアは JPEG リソースを抽出し、XOR デコード処理を複数回行うことで、隠された RoKRAT コードを復元/実行するものだ。この工程により、ファイル・ベースのセキュリティ・ソリューションは容易に回避されてしまう。

Dropbox や Yandex といった、正規のクラウド API を介して RoKRAT に感染したデバイスからは、情報文書/スクリーンショット/セッション情報などを継続的に窃取されていく。それに加え、登録済みのクラウド・アカウントおよび正規の AP Iトークンの悪用により、不審なトラフィックの隠蔽とアトリビューション検出が回避されている。


APT37 は、Windows の進化に対応するかたちで、インジェクション対象を、mspaint.exe から notepad.exe に変更するなどの、技術的柔軟性を示している。また、開発時に取り込まれる PDB パスや、ビルドツール・チェーン名 (例:InjectShellcode/Weapon) のカモフラージュも確認されている。

さらに、攻撃に関連付けられるクラウド・アカウントは、Yandex の電子メール・アドレスや匿名の SNS プロフィールにリンクされており、追跡を困難にしている。

セキュリティへの示唆と対策

この攻撃キャンペーンが示すのは、従来型のシグネチャベース防御や、静的検出ルールだけへの依存の限界である。したがって、行動監視に重点を置いた高度な EDR (Endpoint Detection and Response) が必要とされるだろう。

また、国家に支援される脅威アクターに対抗するための基本戦略である、ユーザーの意識向上トレーニング/厳格なエンドポイント管理/クラウド・サービスの通信トラフィックに対する能動的な監視も重要である。

Genians のレポートが明らかにするのは、APT37 の攻撃手法が、ステガノグラフィやファイル・レスを通じて絶えず進化していることだ。このような高度なリスクに、ユーザー組織が対応するためには、プロアクティブかつ適応的なセキュリティ戦略が求められる。

APT37 による攻撃では、JPEG 画像ファイルにマルウェアを隠すステガノグラフィや、ファイルを残さないファイル・レスの手法が用いられているようです。JPEG に隠されたコードが、複数の暗号化工程を経て復元される仕組みは巧妙で、通常のセキュリティ対策では検知が難しいと、この記事は指摘しています。こうしたファイルの取扱も、慎重に行うべきなのですね。よろしければ、Steganography で検索 も、ご参照ください。