APT37、学術イベントを装う「Operation Capsule Vault」でRokRATを拡散
実在する学術イベントを悪用し、標的型フィッシングを展開
2026年6月、北朝鮮系APTグループAPT37が、**「Operation Capsule Vault」**と呼ばれる標的型攻撃キャンペーンを展開していたことが確認された。攻撃では、実在する学術イベントの案内を悪用したスピアフィッシングメールを送り付け、RokRATマルウェアの感染を狙っていた。
APT37は、ソウル・COEXで開催された**「なぜ今、元山カルマ観光なのか?」といった実在するイベント情報を利用し、受信者に不審を抱かせにくい内容で攻撃を実施した。信頼性の高いイベントを装うことで標的を誘導し、悪意のあるファイルを開かせてRokRAT**を配布する手口が確認されている。
クラウド型C2を継続活用、EDRによる監視強化が重要
Genians Security Centerの分析によると、今回確認されたクラウドベースのC2インフラやコマンド処理の手法は、過去に確認されたRokRATの攻撃キャンペーンと高い共通性を示している。これらの特徴から、APT37が既存の攻撃基盤を継続的に改良しながら、標的型攻撃を展開している可能性が指摘されている。
セキュリティ担当者は、シグネチャベースの検知だけでなく、EDRを活用した振る舞い検知や不審なプロセスの監視を強化することが重要だ。また、クラウドストレージサービスを悪用した通信やファイルレスマルウェアの実行、ISO・PIFファイルを利用した感染経路についても継続的に監視し、高度化するAPT攻撃への対策を講じる必要がある。

