LNKファイルを介して実行されるマルウェアMoonPeak
Contents
LNKファイルを介して実行されるマルウェアMoonPeak
2026年1月、IIJは韓国のユーザを標的とした攻撃で使用されたと思われる、マルウェアを実行する悪性のLNKファイルを観測しました。マルウェア解析を実施した結果、このLNKファイルは北朝鮮 (DPRK) に帰属するとされる脅威アクター1が用いるマルウェアMoonPeak (マルウェアXenoRATの亜種) を実行するために使用されたことが判明しました。この記事では、既存のレポート等で詳細が取り上げられていない感染フローを中心に、今回観測した攻撃キャンペーンについて紹介します。
1st Stage: LNKファイル
ファイル名: 실전 트레이딩 핵심 비법서.pdf.lnk
(訳: 実戦トレーディングの核心秘伝書.pdf.lnk
)
ファイル名から、本LNKファイルは韓国の投資家を標的とした、北朝鮮による外貨獲得のための攻撃で使用された可能性があります2。ユーザによってLNKファイルが開かれると、ファイル内にXORエンコードされた状態で埋め込まれたPDFファイル3 (デコイ) が開かれます。また、難読化されたPowerShellスクリプトがウィンドウ非表示状態 (-WindowStyle Hidden
) で実行されます。このPowerShellスクリプトの役割は以下の通りです。
- プロセス名を使用して仮想環境・マルウェア解析環境を検知
hxxp://mid[.]great-site[.]net/realzan/viewpoi.txt
からPowerShellスクリプトをダウンロードして実行するPowerShellスクリプトおよびVBScriptを作成- 2のスクリプトを自動実行するタスク
Selling CoinBoruhde Whistling NOprobnl{BD234234324-1243324ADVE}
を作成 hxxp://mid[.]great-site[.]net/maith.php
にシステム情報をPOSTリクエストで送信
まず、LNKファイル内のPowerShellスクリプトは以下のプロセスがシステム上で実行されていないか確認し、実行されていた場合は即座に実行を終了します。これはセキュリティ研究者の解析環境やサンドボックス環境で動作しないようにする、動的解析妨害の一種であると考えられます。
- 仮想環境系
vmxnet.exe
,vmusrvc.exe
,vmsrvc.exe
,vmtoolsd.exe
,vmwaretray.exe
,vboxservice.exe
,vboxtray.exe
- 解析環境・サンドボックス系
idaq.exe
,idaq64.exe
,ilspy.exe
,dnspy.exe
,resourcehacker.exe
,ida.exe
,ida64.exe
,de4dot.exe
,x64dbg.exe
,x32dbg.exe
,OllyDbg.exe
,ImmunityDebugger.exe
,Wireshark.exe
,Fiddler Everywhere.exe
,Fiddler.exe
,ProcessHacker.exe
,hookexplorer.exe
,dumpcap.exe
,processlasso.exe
,lordpe.exe
,petools.exe
,WinDump.exe
,autoruns.exe
,autorunsc.exe
,procexp.exe
,procexp64.exe
,tcpview.exe
,tcpview64.exe
,Procmon.exe
,Procmon64.exe
,filemon.exe
,regmon.exe
,vmmap.exe
,vmmap64.exe
,portmon.exe
次に、一時フォルダ内にランダムな8文字の名前を持つフォルダを作成して、その中にランダムな8文字の名前 (および拡張子) を持つ図1・図2のようなファイルを作成します。
図1のPowerShellスクリプトは hxxp://mid[.]great-site[.]net/realzan/viewpoi.txt
からPowerShellスクリプトをダウンロードして実行する機能を有しています5。この際、ダウンロードされたPowerShellスクリプトは一時フォルダ内に保存されますが、実行後には削除されるように実装されています。
図2のVBScriptは図1のPowerShellスクリプトをウィンドウ非表示状態、かつ、実行ポリシーをバイパスした状態で実行する機能を有しています。
図1・図2のファイルを作成したら、wscript.exe
を使用して図2のVBScriptを自動実行するタスク Selling CoinBoruhde Whistling NOprobnl{BD234234324-1243324ADVE}
を作成します。
その後、システム情報 (ホスト・ドメイン情報、OSバージョン情報、プロセス一覧など) を hxxp://mid[.]great-site[.]net/maith.php
にPOSTリクエストで送信します。この際、PowerShellスクリプト実行時に生成されるランダムな4文字の文字列に加えて、 BEGIN
という文字列がサーバに送信されます。また、所定のデータをAES復号 (hxxp://mid[.]great-site[.]net/aes.js
からダウンロードしたJavaScriptを使用) してパラメータに付加することも確認しています。正確な用途は不明ですが、脅威アクターに感染ホストの存在を通知するためのエンドポイントである可能性があります。
2nd Stage: PowerShellスクリプト (viewpoi.txt)
図1のPowerShellスクリプトによってダウンロード・実行される viewpoi.txt
は raw.githubusercontent.com
にアクセスして、GitHubリポジトリ macsim-gun/FinalDocu
内のファイル octobor.docx
を取得します。当該GitHubリポジトリについては、弊社がGitHub社に通報を行い、2026年1月14日時点でテイクダウンされています。
なお、コミットにはメールアドレス sandamalmacsim @ gmail[.]com
が使用されていました。GitHub上で認証済み (Verified) であったことから、当該メールアドレスも脅威アクターに関係している可能性が高いと考えられます6。
commit d8e96e777de3234e0771e6c53b7c09a659542f12 (HEAD -> main, origin/main, origin/HEAD)
Author: macsim-gun <sandamalmacsim @ gmail[.]com>
Date: Thu Dec 25 10:48:44 2025 +0900
Add files via upload
Code language: HTML, XML (xml)
ファイルを取得した後、 octobor.docx
の先頭7バイトを 1F 8B 08 00 00 00 00
(GZIPヘッダ) に置換して、そのままGZIP圧縮データとして解凍します。
解凍後のデータは Stella.exe
というオリジナルファイル名を持つ実行ファイルであり、PowerShellスクリプト内の Assembly.Load
メソッドによってメモリ上で実行されます。
3rd Stage: MoonPeak (Stella.exe)
Stella.exe
はConfuserExという著名な難読化ツールを使用して難読化されたマルウェアMoonPeakです。通常の.NETアセンブリは dnSpy
や dotPeek
といった解析ツールを使用することで、コンパイル前に近しい高水準言語のソースコードを分析 (デコンパイル) することができます。しかし、ConfuserExが使用されている場合、文字列やコードの暗号化によって、解析ツールが正常に動作しない場合や間違った出力が表示される場合があります。
これはConfuserExが有する耐タンパ機能による影響で、モジュールのコンストラクタ <Module>.<Module>()
内でコードを動的に復号してから実行している為です。動的解析によってコードを復号した後のモジュールをメモリ上から抽出して、更にde4dot7のような難読化解除ツールを適用することで、コードを静的解析することが可能です。
解析の結果、今回観測したMoonPeakは以下のような設定情報を有していました。
- Mutex名:
Dansweit_Hk65-PSAccerdle
8 - C2サーバ:
27.102.137[.]88:443
機能や仕様等は2025年8月に公開されたTrellixのレポート内で観測・報告されたMoonPeakから大きく変化しておらず、脅威アクターは同一手法およびマルウェアを使用し続けていると考えられます。
The Coordinated Embassy Hunt: Unmasking the DPRK-linked GitHub C2 Espionage Campaign
https://www.trellix.com/blogs/research/dprk-linked-github-c2-espionage-campaign
おわりに
過去に観測された攻撃キャンペーンと同様に、今回も脅威アクターはGitHubリポジトリをマルウェアのホスト元として活用していました。GitHubを含む正規サイトを攻撃で悪用する手法はLOTS (Living Off Trusted Sites) と呼ばれ、多くの脅威アクターによって使用されています。今後も悪用される可能性が高い手法であるため、警戒が必要だと言えるでしょう。
近年、北朝鮮に帰属する脅威アクターは日本を含む世界中の国々を標的とした攻撃活動を実施しており、政府機関や民間企業という主体だけでなく、インターネットユーザ (個人) にとっても重大な脅威であるといえます。我々は今後も北朝鮮に帰属する脅威アクター・攻撃活動・マルウェアの分析を続け、積極的に情報発信を行い、サイバー空間の安全に寄与していきたいと思います。
Appendix: IoCs
ファイル
| SHA256 | ファイル名 |
|---|---|
| 1553bfac012b20a39822c5f2ef3a7bd97f52bb94ae631ac1178003b7d42e7b7f | 실전 트레이딩 핵심 비법서.pdf.lnk |
| aaac6eadac6c325bfc69b561d75f7cfd979ac289de1cc4430c5cc9a9a655b279 | octobor.docx |
| 8de36cb635eb87c1aa0e8219f1d8bf2bb44cad75b58ef421de77dd1aae669bf4 | Stella.exe |
メールアドレス
sandamalmacsim @ gmail[.]com
通信先
- ペイロード配信サーバ
mid.great-site[.]net
octobor.docx
配信元hxxps://raw[.]githubusercontent[.]com/macsim-gun/FinalDocu/main/octobor.docx
- MoonPeak C2サーバ
27.102.137[.]88
- Cisco Talosは脅威アクターをUAT-5394としてトラッキングしています。
MoonPeak malware from North Korean actors unveils new details on attacker …
2026年1月、IIJは韓国のユーザを標的とした攻撃で使用されたと思われる、マルウェアを実行する悪性のLNKファイルを観測しました。マルウェア解析を実施した結果、このLNKファイルは北朝鮮 (DPRK) に帰属するとされる脅威アクター1が用いるマルウェアMoonPeak (マルウェアXenoRATの亜種) を実行するために使用されたことが判明しました。この記事では、既存のレポート等で詳細が取り上げられていない感染フローを中心に、今回観測した攻撃キャンペーンについて紹介します。
1st Stage: LNKファイル
ファイル名: 실전 트레이딩 핵심 비법서.pdf.lnk
(訳: 実戦トレーディングの核心秘伝書.pdf.lnk
)
ファイル名から、本LNKファイルは韓国の投資家を標的とした、北朝鮮による外貨獲得のための攻撃で使用された可能性があります2。ユーザによってLNKファイルが開かれると、ファイル内にXORエンコードされた状態で埋め込まれたPDFファイル3 (デコイ) が開かれます。また、難読化されたPowerShellスクリプトがウィンドウ非表示状態 (-WindowStyle Hidden
) で実行されます。このPowerShellスクリプトの役割は以下の通りです。
- プロセス名を使用して仮想環境・マルウェア解析環境を検知
hxxp://mid[.]great-site[.]net/realzan/viewpoi.txt
からPowerShellスクリプトをダウンロードして実行するPowerShellスクリプトおよびVBScriptを作成- 2のスクリプトを自動実行するタスク
Selling CoinBoruhde Whistling NOprobnl{BD234234324-1243324ADVE}
を作成 hxxp://mid[.]great-site[.]net/maith.php
にシステム情報をPOSTリクエストで送信
まず、LNKファイル内のPowerShellスクリプトは以下のプロセスがシステム上で実行されていないか確認し、実行されていた場合は即座に実行を終了します。これはセキュリティ研究者の解析環境やサンドボックス環境で動作しないようにする、動的解析妨害の一種であると考えられます。
- 仮想環境系
vmxnet.exe
,vmusrvc.exe
,vmsrvc.exe
,vmtoolsd.exe
,vmwaretray.exe
,vboxservice.exe
,vboxtray.exe
- 解析環境・サンドボックス系
idaq.exe
,idaq64.exe
,ilspy.exe
,dnspy.exe
,resourcehacker.exe
,ida.exe
,ida64.exe
,de4dot.exe
,x64dbg.exe
,x32dbg.exe
,OllyDbg.exe
,ImmunityDebugger.exe
,Wireshark.exe
,Fiddler Everywhere.exe
,Fiddler.exe
,ProcessHacker.exe
,hookexplorer.exe
,dumpcap.exe
,processlasso.exe
,lordpe.exe
,petools.exe
,WinDump.exe
,autoruns.exe
,autorunsc.exe
,procexp.exe
,procexp64.exe
,tcpview.exe
,tcpview64.exe
,Procmon.exe
,Procmon64.exe
,filemon.exe
,regmon.exe
,vmmap.exe
,vmmap64.exe
,portmon.exe
次に、一時フォルダ内にランダムな8文字の名前を持つフォルダを作成して、その中にランダムな8文字の名前 (および拡張子) を持つ図1・図2のようなファイルを作成します。
図1のPowerShellスクリプトは hxxp://mid[.]great-site[.]net/realzan/viewpoi.txt
からPowerShellスクリプトをダウンロードして実行する機能を有しています5。この際、ダウンロードされたPowerShellスクリプトは一時フォルダ内に保存されますが、実行後には削除されるように実装されています。
図2のVBScriptは図1のPowerShellスクリプトをウィンドウ非表示状態、かつ、実行ポリシーをバイパスした状態で実行する機能を有しています。
図1・図2のファイルを作成したら、wscript.exe
を使用して図2のVBScriptを自動実行するタスク Selling CoinBoruhde Whistling NOprobnl{BD234234324-1243324ADVE}
を作成します。
その後、システム情報 (ホスト・ドメイン情報、OSバージョン情報、プロセス一覧など) を hxxp://mid[.]great-site[.]net/maith.php
にPOSTリクエストで送信します。この際、PowerShellスクリプト実行時に生成されるランダムな4文字の文字列に加えて、 BEGIN
という文字列がサーバに送信されます。また、所定のデータをAES復号 (hxxp://mid[.]great-site[.]net/aes.js
からダウンロードしたJavaScriptを使用) してパラメータに付加することも確認しています。正確な用途は不明ですが、脅威アクターに感染ホストの存在を通知するためのエンドポイントである可能性があります。
2nd Stage: PowerShellスクリプト (viewpoi.txt)
図1のPowerShellスクリプトによってダウンロード・実行される viewpoi.txt
は raw.githubusercontent.com
にアクセスして、GitHubリポジトリ macsim-gun/FinalDocu
内のファイル octobor.docx
を取得します。当該GitHubリポジトリについては、弊社がGitHub社に通報を行い、2026年1月14日時点でテイクダウンされています。
なお、コミットにはメールアドレス sandamalmacsim @ gmail[.]com
が使用されていました。GitHub上で認証済み (Verified) であったことから、当該メールアドレスも脅威アクターに関係している可能性が高いと考えられます6。
commit d8e96e777de3234e0771e6c53b7c09a659542f12 (HEAD -> main, origin/main, origin/HEAD)
Author: macsim-gun <sandamalmacsim @ gmail[.]com>
Date: Thu Dec 25 10:48:44 2025 +0900
Add files via upload
Code language: HTML, XML (xml)
ファイルを取得した後、 octobor.docx
の先頭7バイトを 1F 8B 08 00 00 00 00
(GZIPヘッダ) に置換して、そのままGZIP圧縮データとして解凍します。
解凍後のデータは Stella.exe
というオリジナルファイル名を持つ実行ファイルであり、PowerShellスクリプト内の Assembly.Load
メソッドによってメモリ上で実行されます。
3rd Stage: MoonPeak (Stella.exe)
Stella.exe
はConfuserExという著名な難読化ツールを使用して難読化されたマルウェアMoonPeakです。通常の.NETアセンブリは dnSpy
や dotPeek
といった解析ツールを使用することで、コンパイル前に近しい高水準言語のソースコードを分析 (デコンパイル) することができます。しかし、ConfuserExが使用されている場合、文字列やコードの暗号化によって、解析ツールが正常に動作しない場合や間違った出力が表示される場合があります。
これはConfuserExが有する耐タンパ機能による影響で、モジュールのコンストラクタ <Module>.<Module>()
内でコードを動的に復号してから実行している為です。動的解析によってコードを復号した後のモジュールをメモリ上から抽出して、更にde4dot7のような難読化解除ツールを適用することで、コードを静的解析することが可能です。
解析の結果、今回観測したMoonPeakは以下のような設定情報を有していました。
- Mutex名:
Dansweit_Hk65-PSAccerdle
8 - C2サーバ:
27.102.137[.]88:443
機能や仕様等は2025年8月に公開されたTrellixのレポート内で観測・報告されたMoonPeakから大きく変化しておらず、脅威アクターは同一手法およびマルウェアを使用し続けていると考えられます。
The Coordinated Embassy Hunt: Unmasking the DPRK-linked GitHub C2 Espionage Campaign
https://www.trellix.com/blogs/research/dprk-linked-github-c2-espionage-campaign
おわりに
過去に観測された攻撃キャンペーンと同様に、今回も脅威アクターはGitHubリポジトリをマルウェアのホスト元として活用していました。GitHubを含む正規サイトを攻撃で悪用する手法はLOTS (Living Off Trusted Sites) と呼ばれ、多くの脅威アクターによって使用されています。今後も悪用される可能性が高い手法であるため、警戒が必要だと言えるでしょう。
近年、北朝鮮に帰属する脅威アクターは日本を含む世界中の国々を標的とした攻撃活動を実施しており、政府機関や民間企業という主体だけでなく、インターネットユーザ (個人) にとっても重大な脅威であるといえます。我々は今後も北朝鮮に帰属する脅威アクター・攻撃活動・マルウェアの分析を続け、積極的に情報発信を行い、サイバー空間の安全に寄与していきたいと思います。
Appendix: IoCs
ファイル
| SHA256 | ファイル名 |
|---|---|
| 1553bfac012b20a39822c5f2ef3a7bd97f52bb94ae631ac1178003b7d42e7b7f | 실전 트레이딩 핵심 비법서.pdf.lnk |
| aaac6eadac6c325bfc69b561d75f7cfd979ac289de1cc4430c5cc9a9a655b279 | octobor.docx |
| 8de36cb635eb87c1aa0e8219f1d8bf2bb44cad75b58ef421de77dd1aae669bf4 | Stella.exe |
メールアドレス
sandamalmacsim @ gmail[.]com
通信先
- ペイロード配信サーバ
mid.great-site[.]net
octobor.docx
配信元hxxps://raw[.]githubusercontent[.]com/macsim-gun/FinalDocu/main/octobor.docx
- MoonPeak C2サーバ
27.102.137[.]88
- Cisco Talosは脅威アクターをUAT-5394としてトラッキングしています。
MoonPeak malware from North Korean actors unveils new details on attacker …
IoC
http://配信元hxxps://raw.githubusercontent.com/macsim-gun/FinalDocu/main/octobor.docx
http://27.102.137.88
https://www.trellix.com/blogs/research/dprk-linked-github-c2-espionage-campaign/
https://github.com/ViRb3/de4dot-cex
http://mid.great-site.net
https://blog.talosintelligence.com/moonpeak-malware-infrastructure-north-korea/
http://mid.great-site.net/maith.php
http://gmail.com
http://mid.great-site.net/realzan/viewpoi.txt
http://27.102.137.88:443
http://mid.great-site.net/aes.js
https://raw.githubusercontent.com/macsim-gun/FinalDocu/main/octobor.docx
https://www.trellix.com/blogs/research/dprk-linked-github-c2-espionage-campaign
27.102.137.88
[email protected]
8de36cb635eb87c1aa0e8219f1d8bf2bb44cad75b58ef421de77dd1aae669bf4
aaac6eadac6c325bfc69b561d75f7cfd979ac289de1cc4430c5cc9a9a655b279
d8e96e777de3234e0771e6c53b7c09a659542f12
1553bfac012b20a39822c5f2ef3a7bd97f52bb94ae631ac1178003b7d42e7b7f
http://27.102.137.88
https://www.trellix.com/blogs/research/dprk-linked-github-c2-espionage-campaign/
https://github.com/ViRb3/de4dot-cex
http://mid.great-site.net
https://blog.talosintelligence.com/moonpeak-malware-infrastructure-north-korea/
http://mid.great-site.net/maith.php
http://gmail.com
http://mid.great-site.net/realzan/viewpoi.txt
http://27.102.137.88:443
http://mid.great-site.net/aes.js
https://raw.githubusercontent.com/macsim-gun/FinalDocu/main/octobor.docx
https://www.trellix.com/blogs/research/dprk-linked-github-c2-espionage-campaign
27.102.137.88
[email protected]
8de36cb635eb87c1aa0e8219f1d8bf2bb44cad75b58ef421de77dd1aae669bf4
aaac6eadac6c325bfc69b561d75f7cfd979ac289de1cc4430c5cc9a9a655b279
d8e96e777de3234e0771e6c53b7c09a659542f12
1553bfac012b20a39822c5f2ef3a7bd97f52bb94ae631ac1178003b7d42e7b7f