Operation RestyLink: 日本企業を狙った標的型攻撃キャンペーン
By NTTセキュリティ・ジャパン株式会社
Published: 2022-05-11 · Archived: 2026-04-05 21:25:23 UTC
By Rintaro Koike
Published May 11, 2022 | Japanese
本日の記事は、SOC アナリスト 小池 倫太郎の記事です。
---
2022年4月中旬から日本企業を狙った標的型攻撃キャンペーンを複数の組織で観測しています。この攻
撃キャンペーンは2022年3月にも活動していたと考えられ、また2021年10月にも関連した攻撃が行われ
ていた可能性があります。このことから、短期・単発的な攻撃キャンペーンではなく、今後も攻撃が
継続する可能性があります。
本稿では、この攻撃キャンペーンについて詳細な解析を行い、その攻撃主体の帰属について検討しま
す。
攻撃概要
2022年4月中旬に観測した攻撃の流れは以下のとおりです。 
https://insight-jp.nttsecurity.com/post/102ho8o/operation-restylink
Page 1 of 10

スピアフィッシングメールに書かれたURLにアクセスすると、攻撃者の管理するサーバからZIPファイ
ルがダウンロードされます。ユーザがZIPファイル内のLNKファイルを実行すると、Windowsコマンド
を使用し、攻撃者サーバからDOTファイルをダウンロードし、Microsoft Wordのスタートアップディレ
クトリへ配置します。その際、デコイとなるPDFファイルをユーザに表示されます。
次回以降、ユーザがWordファイルを開くと、スタートアップディレクトリに置かれたDOTファイルが
ロードされ、仕込まれたマクロが発火します。マクロは更に攻撃者サーバからDOTファイルをダウン
ロードし、実行しますが、私達の調査時点ではこのDOTファイルの入手ができませんでした。
詳細解析
LNKファイル
LNKファイルのアイコンはPDFファイルになっていますが、実際にはScriptRunner.exeを使用し、大きく
2つの処理が行われます。
1. デコイのPDFファイルを表示
2. DOTファイルをダウンロードし、Microsoft Wordのスタートアップディレクトリへ配置
表示されるデコイのPDFファイルは2種類ありますが、ともに日韓関係に関するものでした。黒塗りし
ているところには実在する人物の名前が書かれていました。
DOTファイル
https://insight-jp.nttsecurity.com/post/102ho8o/operation-restylink
Page 2 of 10

ユーザがWordファイルを開くと、スタートアップディレクトリに配置されたDOTファイルが読み込ま
れます。DOTファイルには以下のようなマクロが仕込まれていました。
マクロは更にDOTファイルを読み込み、実行します。この際、ファイル名にユーザ名を含んでおり、
攻撃者が被害ユーザの環境を把握していたことが分かります。調査時点で、追加のDOTファイルは入
手できませんでした。 
関連した攻撃
2022年4月下旬の事例
2022年4月下旬、今回の攻撃キャンペーンと同一のインフラからISOファイルがダウンロードできたこ
とを確認しています。攻撃の流れは以下のようになっています。
そのISOファイルにはデコイファイルの他に、正規のMicrosoft WordのEXEファイルと、悪意のあるDLL
ファイルが含まれていました。DLLファイルはEXEファイルを実行時にサイドロードされ、実行されま
す。
https://insight-jp.nttsecurity.com/post/102ho8o/operation-restylink
Page 3 of 10

DLLファイルはUPXでパックされていますが、Golangで書かれたダウンローダでした。DLLファイルは
サーバ上からCobalt StrikeのStagerをダウンロードし、実行します。攻撃者はCobalt Strikeを使用して
様々なコマンドを実行し、環境の調査などを行いました。
実行されたCobalt Strike StagerのConfigは以下のとおりです。
2022年4月上旬の事例
2022年4月上旬、日本企業において、本攻撃キャンペーンのインフラ（IPアドレス）に対するアクセス
を確認しました。詳細は不明ですが、標的・時期・インフラの重複から、同一の攻撃キャンペーンで
ある可能性が高いと考えられます。
2022年3月の事例
VirusTotal上には今回の攻撃と極めて類似したLNKファイルが2022年3月時点で日本から投稿されていま
す。
2022年3月の検体はScriptRunner.exeではなくcmd.exeを使用していますが、実行されるコマンドや攻撃イ
ンフラは重複しており、これらは高い確度で同一の攻撃キャンペーンであると言えます。
調査時点で1段階目のDOTファイルは入手できませんでした。デコイとして表示されるPDFファイルは
以下のように、東アジアにおける日本の外交に関する文書でした。
https://insight-jp.nttsecurity.com/post/102ho8o/operation-restylink
Page 4 of 10

2022年1月の事例
2022年4月下旬の事例で使用されたGolang製のダウンローダは奇妙なUser-Agentを使用し、 /Events とい
うパスからCobalt Strike Stagerをダウンロードします。このUser-AgentはロシアのYandex Browserのもの
で、日本では一般的な値ではありません。これと同様の特徴を持つサンプルが2022年1月に日本から
VirusTotalへ投稿されました。インフラも近く、本攻撃キャンペーンと関連している可能性がありま
す。
また、異なるサブドメインに紐づくIPアドレスを調査した結果、オープンソースのC2フレームワーク
であるCovenantの痕跡を発見しました。攻撃者はCobalt Strike以外にも、Covenantを使用していた可能
性があります。
https://insight-jp.nttsecurity.com/post/102ho8o/operation-restylink
Page 5 of 10

2021年11月の事例
2022年1月と4月下旬のCobalt Strikeの事例に関連して、2021年11月に取得された differentfor[.]com という
ドメインが挙げられます。インフラやドメイン、ファイルパス、HTTPヘッダ、Cobalt StrikeのConfigな
どが重複しており、本攻撃キャンペーンと関連している可能性があります。
2021年10月の事例
本攻撃キャンペーンについて調査を行った結果、今回と類似した攻撃インフラを使用した攻撃が2021
年10月下旬に行われていた可能性があることを発見しました。
調査時点では攻撃ファイルを入手することはできませんでしたが、笹川平和財団のWebサイトのように
見せかけたWebサイトから悪性ファイルがダウンロードされた可能性があります。
https://insight-jp.nttsecurity.com/post/102ho8o/operation-restylink
Page 6 of 10

帰属
本攻撃キャンペーンについて、その特徴を整理します。
様々な特徴がありますが、特に注目すべきは明確に日本を標的としていることです。標的ユーザを絞
り込み、自然な日本語を扱い、日本のIPアドレスを使用するなど、単なる流れ弾的な攻撃ではなく、日
本を標的とすべきモチベーションが高いと考えられます。また、本攻撃キャンペーンで使用されるWeb
サーバは地理的情報によってアクセス制御を行っている可能性があり、攻撃者の慎重さ、狡猾さを感
じます。日本に対する高い攻撃モチベーションと能力を兼ね備えた攻撃グループは少なく、候補は限
られてきます。
https://insight-jp.nttsecurity.com/post/102ho8o/operation-restylink
Page 7 of 10

これらのことから、私達が関連性を疑っている標的型攻撃グループを4つ挙げます。本稿では言及して
いない様々な要素を考慮した上で、私達はDarkHotelである可能性を他の候補よりも検討しています
が、どの場合でも決定的な要素はないため確度は低く、今後のリサーチで大きく変化する可能性があ
ります。
DarkHotel
DarkHotelは韓国に帰属すると言われている標的型攻撃グループ[1]で、日本でも度々攻撃を観測してい
ます[2][3][4][5][6]。DarkHotelは日本のメディア企業やシンクタンクを執拗に攻撃し続けており、日本
語のメールとデコイファイルを用いてスピアフィッシングを行い、LNKファイルを用いて多段のダウ
ンローダ・ローダを実行します。これらの特徴は本攻撃キャンペーンと近しく、関連性が疑われま
す。
Kimsuky
Kimsukyは北朝鮮に帰属すると言われている攻撃グループ[7]で、日本でも時折攻撃を観測しています
[8][9]。Kimsukyは脱北者やそれに関わる組織を標的としているとされ、日本のメディア企業が標的と
なったこともあります。 また、直近ではLNKファイルを用いた攻撃も報告[10]されており、これらの
特徴は本攻撃キャンペーンと類似しています。
APT29
APT29はロシアに帰属すると言われている標的型攻撃グループ[11]で、日本ではほとんどその攻撃につ
いて報告されることはありません。しかし、昨今のウクライナ情勢から攻撃の動機となりうると考え
られます。 また、APT29はLNKファイル[12]やISOファイル[13]を用いた攻撃が既に報告されており、
さらにCobalt Strike[14]やGolangマルウェア [15]を使用することも知られています。これらは本攻撃キャ
ンペーンと類似しています。
TA416
TA416は中国に帰属すると言われている標的型攻撃グループ[16]で、日本では時折攻撃を観測していま
す。TA416はLNKファイルやCobalt Strikeを使用して攻撃[17][18]を行いますが、これらは本攻撃キャン
ペーンと類似しています。
おわりに
2022年4月現在、日本企業を狙った標的型攻撃キャンペーンが観測されています。本攻撃キャンペーン
はいくつかの帰属が考えられますが、明確な要素は発見できていません。類似した攻撃は数ヶ月前か
ら行われていた可能性があり、今後も継続的に注視していく必要があります。
IoCs
*.disknxt[.]com
*.officehoster[.]com
*.youmiuri[.]com
https://insight-jp.nttsecurity.com/post/102ho8o/operation-restylink
Page 8 of 10

*.spffusa[.]org
*.sseekk[.]xyz
*.mbusabc[.]com
*.differentfor[.]com
103[.]29.69.155
149[.]28.16.63
172[.]104.122.93
172[.]105.229.93
172[.]105.229.216
207[.]148.91.243
45[.]77.179.110
References
[1] MITRE ATT&CK, "Darkhotel", https://attack.mitre.org/groups/G0012/
[2] NTTセキュリティ・ジャパン, "マルウエアが含まれたショートカットファイルをダウンロードさせ
る攻撃のさらにその先", https://techblog.security.ntt/102fmlc
[3] JPCERT/CC, "マルウエアが含まれたショートカットファイルをダウンロードさせる攻
撃", https://blogs.jpcert.or.jp/ja/2019/05/darkhotel_lnk.html
[4] マクニカ, "標的型攻撃の実態と対策アプローチ 第3
版", https://www.macnica.co.jp/business/security/manufacturers/files/mpressioncss_ta_report_2019_2_nopw.pdf
[5] マクニカ, "標的型攻撃の実態と対策アプローチ 第5
版", https://www.macnica.co.jp/business/security/manufacturers/files/mpressioncss_ta_report_2020_5.pdf
[6] IPA, "サイバーレスキュー隊（J-CRAT） 活動状況 [2019 年度下半
期]", https://www.ipa.go.jp/files/000083013.pdf
[7] Mandiant, "Not So Lazarus: Mapping DPRK Cyber Threat Groups to Government
Organizations", https://www.mandiant.com/resources/mapping-dprk-groups-to-government
[8] IPA, "サイバーレスキュー隊（J-CRAT） 活動状況 [2021 年度上半
期]", https://www.ipa.go.jp/files/000094548.pdf
[9] Cybereason, "Kimsukyが利用しているKGHスパイウェアスイートの内部解
析", https://www.cybereason.co.jp/blog/cyberattack/5373/
[10] Stairwell, "The ink-stained trail of GOLDBACKDOOR", https://stairwell.com/news/threat-research-the-ink-stained-trail-of-goldbackdoor/
[11] MITRE ATT&CK, "APT29", https://attack.mitre.org/groups/G0016/
[12] Volexity, "Suspected APT29 Operation Launches Election Fraud Themed Phishing
Campaigns", https://www.volexity.com/blog/2021/05/27/suspected-apt29-operation-launches-election-fraud-https://insight-jp.nttsecurity.com/post/102ho8o/operation-restylink
Page 9 of 10

themed-phishing-campaigns/
[13] Microsoft, "Breaking down NOBELIUM’s latest early-stage
toolset", https://www.microsoft.com/security/blog/2021/05/28/breaking-down-nobeliums-latest-early-stage-toolset/
[14] Mandiant, "Not So Cozy: An Uncomfortable Examination of a Suspected APT29 Phishing
Campaign", https://www.mandiant.com/resources/not-so-cozy-an-uncomfortable-examination-of-a-suspected-apt29-phishing-campaign
[15] JPCERT/CC, "LinuxとWindowsを狙うマルウエアWellMess(2018-06-
28)", https://blogs.jpcert.or.jp/ja/2018/06/wellmess.html
[16] Proofpoint, “The Good, the Bad, and the Web Bug: TA416 Increases Operational Tempo Against European
Governments as Conflict in Ukraine Escalates”, https://www.proofpoint.com/us/blog/threat-insight/good-bad-and-web-bug-ta416-increases-operational-tempo-against-european
[17] CrowdStrike, “Meet CrowdStrike’s Adversary of the Month for June: MUSTANG
PANDA”, https://www.crowdstrike.com/blog/meet-crowdstrikes-adversary-of-the-month-for-june-mustang-panda/
[18] Cisco, “Mustang Panda deploys a new wave of malware targeting
Europe”, https://blog.talosintelligence.com/2022/05/mustang-panda-targets-europe.html
Source: https://insight-jp.nttsecurity.com/post/102ho8o/operation-restylink
https://insight-jp.nttsecurity.com/post/102ho8o/operation-restylink
Page 10 of 10