{
	"id": "de686688-ac1b-4c3d-9e4f-1a786d670164",
	"created_at": "2026-04-06T00:10:24.249849Z",
	"updated_at": "2026-04-10T03:34:17.246311Z",
	"deleted_at": null,
	"sha1_hash": "44bbdfdf4d6abd5b5be832db1dbe7ddc72b8a551",
	"title": "PlugXと攻撃者グループ \"DragonOK\"の関連性 | LAC WATCH",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 510511,
	"plain_text": "PlugXと攻撃者グループ \"DragonOK\"の関連性 | LAC WATCH\r\nBy 石川 芳浩\r\nPublished: 2017-12-18 · Archived: 2026-04-05 15:13:02 UTC\r\n当社サイバー救急センターの脅威分析チームでは、JPCERT/CCが2017年1月12日の分析だよりで報告※\r\n１している Poison IvyのAPI Hashコードを利用したPlugX（以下、PIPX）による標的型攻撃を、2017年\r\n10月頃から複数確認しています。今回は、このPIPXを分析する中で見えた、マルウェアを使用する攻\r\n撃者グループについて紹介します。PIPXの詳細な機能についての解説は、前述したJPCERT/CCの分析\r\nだよりにありますので、そちらをご覧ください。\r\nPIPXの共通点\r\n脅威分析チームで確認できたPIPXにはいくつかの共通点がありました。その一部を説明します。\r\n1. ファイル情報および実行方法\r\nPIPXをドロップ（インストール）する実行ファイルは、図1および図2に示すような、アイコンリソー\r\nス情報を持つ RAR の自己解凍形式（SFX）を使用します。また、実行ファイルは、3つのファイルで構\r\n成されており、DLLサイドローディングの手法を悪用後、正規プロセスである \"nslookup.exe\"にPIPXの\r\nコードをインジェクションし、実行します（図3）。PIPXに内包されるファイルは、攻撃が行われた時\r\n期によって少し異なり、2017年10月頃に確認したキャンペーンでは、図2の実線で囲った赤枠の通\r\nり\"mcoemcpy.exe, mcutil.dll, Mlog.datまたはmcafee.res\"の3ファイルで構成されていました。一方、2016\r\n年4月頃に確認したPIPXでは、点線で囲った青枠の通り\" RasTls.exe, RasTls.dll, RasTls.dll.msc\"という3フ\r\nァイルで構成されていました。\r\nhttps://www.lac.co.jp/lacwatch/people/20171218_001445.html\r\nPage 1 of 6\n\n図1 PIPXのアイコンリソース情報\r\n図2 PIPXに内包されるファイル2017年（上）/2016年（下）\r\n図3 \"nslookup.exe\" にPIPXのコードをインジェクション\r\n2. 自動実行の仕組み\r\nPIPXは、サービスまたは自動実行のレジストリキー1に登録された正規プログラムからDLLサイドロー\r\nディングの手法を悪用し、自動実行します。その中で、ペイロードに相当する暗号化されたデータ\r\nは、ファイルとして読み込むのではなく、特定のレジストリキー2に格納されたレジストリ値から読み\r\n込みます。図4に示すように、レジストリ値のデータとPIPXに内包されたファイルデータが同じである\r\nことが確認できます。\r\n１管理者権限の場合はサービスを利用し、一般ユーザ権限の場合はレジストリキーを利用する\r\n２HKLM\\SOFTWARE\\BINARY（管理者権限の場合）またはHKCU\\SOFTWARE\\BINARY（一般ユ\r\nーザ権限の場合）\r\nhttps://www.lac.co.jp/lacwatch/people/20171218_001445.html\r\nPage 2 of 6\n\n図4 ペイロードデータの比較。レジストリ値（上）/ PIPXに内包されたファイルデータ\r\n（下）\r\n3. 設定情報\r\n設定情報のサイズは、0x36a4バイトであり、図5に示すような情報が含まれ、PIPXは、この情報を元に\r\n動作します。\r\nhttps://www.lac.co.jp/lacwatch/people/20171218_001445.html\r\nPage 3 of 6\n\n図5 設定情報（共通部分のコード一部抜粋）\r\nPIPXの通信先\r\nPIPXの通信先に目を向けると、マルウェアの種類やインフラなどの関連要素から\"DragonOK\"と呼ばれ\r\nる攻撃者グループによる犯行である可能性が高いことがわかりました。\"DragonOK\"は、主に日本や台\r\n湾などの製造業やハイテク産業などを標的として活動している攻撃者グループであり、FireEyeから公\r\n開されたレポート※２によれば、中国の江蘇省を拠点としているとされています。\r\n図6は、PIPXが使用する一部の特徴的な通信先を元に、Maltegoで関連する要素をマッピングしたもの\r\nです。通信先であるC2サーバのドメイン登録者のメールアドレスは、実線の赤枠で囲っ\r\nた\"jack[.]ondo[at]mail[.]com\"であることがわかります。このメールアドレスを使用して取得されたドメ\r\nイン（snoozetime[.]info）は、\"Aveo\"と呼ばれるマルウェアによって使われていることがPalo Alto\r\nNetworksによって報告※３されています。さらに関連する要素を調査すると、このドメインに紐づくIP\r\nアドレスは、\"104.202.173[.]82\"であり、このIPアドレスは、ほぼ同時期に点線の青枠で囲ったドメイン\r\nhttps://www.lac.co.jp/lacwatch/people/20171218_001445.html\r\nPage 4 of 6\n\nで使用されていたことがわかります。このドメインをC2サーバとして使うマルウェアは、\"Sysget\"と呼\r\nばれ、\"DragonOK\"が利用するマルウェアの1つです。このマルウェアは、日本では少なくとも2014年ご\r\nろから利用されており、2017年11月下旬の標的型攻撃でも使用されていることを確認しました。機能\r\nについては、\"Sysget v4\"※４の亜種に相当するものであると考えられます。\r\n図6 PIPXの通信先と関連性\r\n今後も日本をターゲットにした活動が予想されるDragonOK\r\n日本における\"DragonOK\"の活動は、2017年に入りほとんど確認できていませんでしたが、2017年10月\r\n後半頃から少し大きな動きを確認できました。このことから、\"DragonOK\"は日本を標的の1つとして絶\r\nえず攻撃を仕掛けてきており、今後も日本をターゲットに継続的に活動することが予想できます。当\r\n社脅威分析チームでは、この攻撃者グループについて継続的に調査し、広く情報を提供していきたい\r\nと考えています。\r\nIOC (Indicator Of Compromised)\r\nハッシュ値\r\nhttps://www.lac.co.jp/lacwatch/people/20171218_001445.html\r\nPage 5 of 6\n\n97763d25af878d73d19deabe9ea2d564\r\n29cdae7dc2a7f7376a19e4de91b69c98\r\n58ba2c0ed39d5c874a4933677508f5cc\r\n通信先\r\nphp[.]marbletemps[.]com\r\nbbs[.]donkeyhaws[.]info\r\nhttp[.]donkeyhaws[.]info\r\nhttps[.]osakaintec[.]com\r\n206.161.218[.]49\r\n207.226.137[.]207\r\n118.193.163[.]133\r\n103.226.153[.]39\r\n※１ Poison Ivyのコードを取り込んだマルウエアPlugX\r\n※２ OPERATION QUANTUM ENTANGLEMENT\r\n（https://www.fireeye.com/content/dam/fireeye-www/global/en/current-threats/pdfs/wp-operation-quantum-entanglement.pdf）\r\n※３ Aveo Malware Family Targets Japanese Speaking Users\r\n※４ DragonOK Updates Toolset and Targets Multiple Geographic Regions\r\nメールマガジン\r\nサイバーセキュリティや\r\nラックに関する情報を\r\nお届けします。\r\nSource: https://www.lac.co.jp/lacwatch/people/20171218_001445.html\r\nhttps://www.lac.co.jp/lacwatch/people/20171218_001445.html\r\nPage 6 of 6",
	"extraction_quality": 1,
	"language": "JA",
	"sources": [
		"Malpedia",
		"ETDA"
	],
	"references": [
		"https://www.lac.co.jp/lacwatch/people/20171218_001445.html"
	],
	"report_names": [
		"20171218_001445.html"
	],
	"threat_actors": [
		{
			"id": "5ffe400c-6025-44c2-9aa1-7c34a7a192b0",
			"created_at": "2023-01-06T13:46:38.469688Z",
			"updated_at": "2026-04-10T02:00:02.987949Z",
			"deleted_at": null,
			"main_name": "DragonOK",
			"aliases": [
				"Moafee",
				"BRONZE OVERBROOK",
				"G0017",
				"G0002",
				"Shallow Taurus"
			],
			"source_name": "MISPGALAXY:DragonOK",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "7ebda3c6-1789-4d84-97cf-47fb18a0cb28",
			"created_at": "2022-10-25T15:50:23.78829Z",
			"updated_at": "2026-04-10T02:00:05.415039Z",
			"deleted_at": null,
			"main_name": "DragonOK",
			"aliases": [
				"DragonOK"
			],
			"source_name": "MITRE:DragonOK",
			"tools": [
				"PoisonIvy",
				"PlugX"
			],
			"source_id": "MITRE",
			"reports": null
		},
		{
			"id": "593dd07d-853c-46cd-8117-e24061034bbf",
			"created_at": "2025-08-07T02:03:24.648074Z",
			"updated_at": "2026-04-10T02:00:03.625859Z",
			"deleted_at": null,
			"main_name": "BRONZE OVERBROOK",
			"aliases": [
				"Danti ",
				"DragonOK ",
				"Samurai Panda ",
				"Shallow Taurus ",
				"Temp.DragonOK "
			],
			"source_name": "Secureworks:BRONZE OVERBROOK",
			"tools": [
				"Aveo",
				"DDKONG",
				"Godzilla Webshell",
				"HelloBridge",
				"IsSpace",
				"NFLog Trojan",
				"PLAINTEE",
				"PlugX",
				"Rambo"
			],
			"source_id": "Secureworks",
			"reports": null
		},
		{
			"id": "340d1673-0678-4e1f-8b75-30da2f65cc80",
			"created_at": "2022-10-25T16:07:23.552036Z",
			"updated_at": "2026-04-10T02:00:04.653109Z",
			"deleted_at": null,
			"main_name": "DragonOK",
			"aliases": [
				"Bronze Overbrook",
				"G0017",
				"Shallow Taurus"
			],
			"source_name": "ETDA:DragonOK",
			"tools": [
				"Agent.dhwf",
				"CT",
				"Chymine",
				"Darkmoon",
				"Destroy RAT",
				"DestroyRAT",
				"FF-RAT",
				"FormerFirstRAT",
				"Gen:Trojan.Heur.PT",
				"HTran",
				"HUC Packet Transmit Tool",
				"HelloBridge",
				"IsSpace",
				"KHRAT",
				"Kaba",
				"Korplug",
				"Mongall",
				"NFlog",
				"NewCT",
				"NfLog RAT",
				"PlugX",
				"Poison Ivy",
				"Rambo",
				"RedDelta",
				"SPIVY",
				"Sogu",
				"SysGet",
				"TIGERPLUG",
				"TVT",
				"Thoper",
				"TidePool",
				"Xamtrav",
				"brebsd",
				"ffrat",
				"pivy",
				"poisonivy"
			],
			"source_id": "ETDA",
			"reports": null
		}
	],
	"ts_created_at": 1775434224,
	"ts_updated_at": 1775792057,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/44bbdfdf4d6abd5b5be832db1dbe7ddc72b8a551.pdf",
		"text": "https://archive.orkl.eu/44bbdfdf4d6abd5b5be832db1dbe7ddc72b8a551.txt",
		"img": "https://archive.orkl.eu/44bbdfdf4d6abd5b5be832db1dbe7ddc72b8a551.jpg"
	}
}