北朝鮮のハッカー集団である**APT37**（別名ScarCruft）が、新たな多段階ソーシャルエンジニアリングキャンペーンに関与していることが明らかになりました。このキャンペーンでは、攻撃者は**Facebook**でターゲットに接触し、ソーシャルメディアプラットフォーム上で友達申請を行って信頼関係を構築し、その過程を利用して**RokRAT**と呼ばれるリモートアクセス型トロイの木馬を配信しています。  ### ソーシャルエンジニアリング戦術 **Genians Security Center**（GSC）は、キャンペーンの詳細な技術分析の中で、「攻撃者は北朝鮮の平壌市および松山市に位置情報を設定した2つの**Facebook**アカウントを使用し、ターゲットを特定・選別しました。友達申請を通じて信頼関係を構築した後、攻撃者はMessengerに会話を移行させ、特定のトピックを使用してターゲットを誘い込み、攻撃の初期ソーシャルエンジニアリング段階を進めました」と述べています。 攻撃の中心となるのは、なりすまし（pretexting）の使用です。攻撃者は、暗号化された軍事文書を開くために専用のPDFビューアが必要だと主張し、無防備なユーザーを騙してインストールさせようとします。感染チェーンで使用されるPDFビューアは、**Wondershare PDFelement**の改ざんされたバージョンであり、起動されると埋め込まれたshellcodeが実行され、攻撃者が初期の足がかりを得られるようになります。 ### 侵害されたインフラストラクチャとペイロード配信 このキャンペーンのもう一つの重要な側面は、コマンド＆コントロール（C2）のために正規の、しかし侵害されたインフラストラクチャを利用していることです。ソウルの日本の不動産情報サービスのソウル支部に紐づくウェブサイトを悪用し、悪意のあるコマンドとペイロードを発行しています。さらに、ペイロードは一見無害なJPG画像という形式をとり、**RokRAT**を配信します。 **GSC**は、「これは、正規のソフトウェア改ざん、正規ウェブサイトの悪用、ファイル拡張子の偽装を組み合わせた、非常に回避性の高い戦略と評価されています」と述べています。  ### 攻撃チェーンの詳細 韓国のサイバーセキュリティ企業によって詳細に説明された攻撃シーケンスでは、攻撃者は「richardmichael0828」と「johnsonsophia0414」という2つの**Facebook**アカウントを作成し、これらはすべて2025年11月10日に作成されました。会話を**Telegram**に移した後、ZIPファイルを配信しました。このアーカイブには、**Wondershare PDFelement**のトロイの木馬化されたバージョン、4つのPDFドキュメント、およびPDFを表示するためにプログラムをインストールする手順を含むテキストファイルが含まれていました。 改ざんされたインストーラーの起動後に実行される暗号化されたshellcodeは、C2サーバー（"japanroom[.]com"）との通信を確立し、セカンドステージのペイロードであるJPG画像（"1288247428101.jpg"）をダウンロードすることを可能にし、それが最終的な**RokRAT**ペイロードとして使用されます。 ### RokRATの機能と回避技術 このマルウェアは、**Zoho WorkDrive**をC2として悪用しています。これは、2026年2月に**Zscaler ThreatLabz**がRuby Jumperというコードネームのキャンペーンの一部として詳細を報告した戦術でもあります。これにより、スクリーンショットのキャプチャ、"cmd.exe"を介したリモートコマンド実行の有効化、ホスト情報の収集、システム偵察の実行、および**Qihoo's 360 Total Security**のようなセキュリティプログラムからの検出回避が可能になり、悪意のあるトラフィックを偽装します。 **GSC**は、「そのコア機能は比較的安定しており、長期間にわたって複数のオペレーションで繰り返し再利用されてきました。これは、**RokRAT**がコア機能の変更よりも、配信、実行、および回避チェーンの進化に焦点を当てていることを示しています」と述べています。