武器化された PDF と LNK のオーケストレーション:国家に支援される APT37 が韓国で活動

Hackers Weaponize PDF Along With a Malicious LNK File to Compromise Windows Systems

2025/08/29 CyberSecurityNews — 無害に見える PDF ニュースレターと、悪意の Windows ショートカット (LNK) ファイルを組み合わせる脅威アクターが、企業環境への侵入を開始している。この攻撃は 2025年8月の下旬に発生したものであり、韓国の学術機関および政府機関を標的とし、正規の PDF ニュースレター “국가정보연구회 소식지 (52호)” を装うものが配信されている。

PDF 偽装ニュースレターと、ニュースレターを装う “.lnk” ファイルを取り込んだアーカイブを、被害者は受け取ることになる。このショートカットが実行されると、LNK ファイルに埋め込まれた多段式の PowerShell ローダーが解凍され、追加のペイロードがメモリ上に展開されるが、ディスク・ベースの検出は回避されてしまう。

初期分析で確認されたことは、この LNK ファイルには3つのバイナリ・ペイロードが正確なオフセットで隠されていることだ。それぞれのオフセット値は、デコイ PDF の 0x0000102C/ローダー・バイナリの 0x0007EDC1/最終的な実行ファイルの 0x0015AED2 となっている。

実行時に LNK 内の PowerShell ワンライナーは、これらのオフセットを読み取り、それぞれのバイナリを aio0.dat/aio1.dat/aio1+3.b+la+t として %TEMP% に書き込む。その後に、バッチ・スクリプト “aio03.bat” を起動して、ローダーをデコードして実行する。

Seqrite のアナリストたちが指摘するのは、このファイルレス手法により、攻撃者はディスクへの書き込みを行わずに最終ペイロードを展開し、シグネチャ・ベースの防御を回避できるという点だ。

その後の調査で、最終ペイロードは 1-Byte XOR キー (0x35) で復号され、Windows API 呼び出し (GlobalAlloc/VirtualProtect/CreateThread) を通じて、メモリにダイレクトに注入されることが判明した。この反射型 DLL インジェクション技術により、悪意のあるコードはステルス実行され、フォレンジック痕跡は最小限に抑制される。

このローダー・バイナリをリバース・エンジニアリングしたところ、VMware のツールやサンドボックスを回避するルーチンを用いた、環境チェックが行われていることが確認され、APT37 として知られる脅威アクターの高度な技術力が裏付けられた。

Campaign 1 infection chain (Source – Seqrite)

$exePath = "$env:temp\tony31.dat"
$exeFile = Get-Content -Path $exePath -Encoding Byte
$key = 0x37
for ($i = 0; $i -lt $exeFile.Length; $i++) {
    $exeFile[$i] = $exeFile[$i] -bxor $key
}
$buf = [Win32]::GlobalAlloc(0x40, $exeFile.Length)
[Win32]::VirtualProtect($buf, $exeFile.Length, 0x40, [ref]$old)
[Win32]::RtlMoveMemory($buf, $exeFile, $exeFile.Length)
[Win32]::CreateThread(0,0,$buf,0,0,[ref]$null)
感染メカニズム

これまでに説明してきたように、ユーザーが偽装 “.lnk” ファイルをダブル・クリックすると感染が開始され、内部で PowerShell が起動される。

Campaign 2 infection chain (Source – Seqrite)

このスクリプトは Get-Item と ReadAllBytes を利用して自身のバイナリを解析し、偽装 PDF を表示しながら実際のペイロードをステージングする。ステージングが完了した後に、このバッチ・ローダーは aio02.dat に保存された UTF-8 デコード済みスクリプトに対して Invoke-Expression を実行し、aio01.dat の XOR 復号とリフレクション・インジェクションをオーケストレーションする。

この攻撃者は、メモリ内での実行を用いているため、ディスク・スキャンに依存する従来型エンドポイント保護は回避される。

この階層化された感染チェーンは、デコイ文書/埋め込みペイロード/ファイルレス技術を融合したものであり、国家に支援されるサイバースパイ活動の巧妙化を示すものである。

正規の PDF ニュースレターを装い、実際には悪意の LNK ファイルを仕込むという、APT37 による手口が解説されています。安全に見えるショートカットを、ユーザーに実行させるという手法ですが、LNK 内に複数のペイロードを隠し持ち、PowerShell を介して段階的に展開するという巧妙な手口が用いられています。さらに、復号や DLL インジェクションを通じて、すべての操作がメモリ上で実行されるため、従来のアンチウイルス検出を回避していくと、この記事は指摘しています。よろしければ、APT37 で検索も、ご参照ください。