カスペルスキーは、サイバー攻撃グループ「Lazarus（ラザルス）」が関与する新たな攻撃活動を観測し、「Operation SyncHole（オペレーション・シンクホール）」と名付けたと発表した。


　この攻撃は、水飲み場型攻撃とサードパーティ製ソフトウェアの脆弱性を突く手法を組み合わせたもので、韓国の組織を標的としている。また、調査中に韓国で広く使用されているソフトウェア「Innorix Agent」にゼロデイ脆弱性を発見し、迅速なパッチ適用につなげた。Lazarusグループは、韓国のソフトウェア、IT、金融、半導体、通信業界の六つの組織を標的としていた。しかし、実際にはさらに多くの組織が侵害に遭っていた可能性がある。

　少なくとも2009年から活動しているLazarusグループは、潤沢な資金とリソース持っている。今回の攻撃活動で、サードパーティ製ソフトウェアのInnorix Agentのワンデイ脆弱性を悪用していることが確認された。Innorix Agentは、管理システムや財務システムのセキュアなファイル転送に使用されているブラウザー統合型ツール。この脆弱性を悪用することで侵入後の横展開が可能になり、標的のホストに追加のマルウェアをインストールすることができた。最終的には、Lazarusが使用する代表的なマルウェアの「ThreatNeedle」や「LPEClient」などが展開され、内部ネットワーク内での足場を拡大した。

　マルウェアを分析するなかで、任意のファイルをダウンロードが可能な別のゼロデイ脆弱性を発見した。この脆弱性は、攻撃者によって悪用される前に特定できた。同社は、Innorix Agentの問題を韓国インターネット振興院と同ツールのベンダーに報告し、その後、パッチが適用されたバージョンに更新され、脆弱性にはKVE-2025-0014が割り当てられた。

　カスペルスキーは、Innorix Agentに関連する発見以前に、以前から続く韓国を標的とした攻撃活動で、バックドアのThreatNeedleなどの亜種が使用されていることを確認していた。このマルウェアは、Windowsの正規のサービスであるSyncHost.exeプロセスのメモリー内で実行され、セキュリティーツールの使用をサポートする韓国の正規のソフトウェア「Cross EX」のサブプロセスとして作成されていた。

　攻撃活動の詳細な分析により、今回の六つの組織でも同じ攻撃ベクターが確認されたことが明らかになった。各ケースの感染チェーンは、Cross EXの潜在的な脆弱性が発生元とみられ、これが攻撃活動全体の感染の起点であった可能性が示唆されている。

　Lazarusグループは、多くのユーザーが訪れるオンラインメディアのウェブサイトを侵害し、おとりとして使用した。この手法は、水飲み場型攻撃として知られている。攻撃者は、訪問者のトラフィックをフィルタリングして、標的とする人物を攻撃者が制御するウェブサイトに選択的にリダイレクトさせていた。ここから攻撃チェーンが始まっており、この方法は、同グループの活動でみられる高度に標的を絞り込む戦略的な特徴を示している。