世界中のコンピュータにバックドアを仕掛けるサプライチェーン攻撃で、具体的な標的とされたのは10台未満のコンピュータであると、サイバーセキュリティ企業のカスペルスキーが報告した。同社によると、攻撃は特に仮想通貨企業に興味を示しているという。

サイバーセキュリティ企業のクラウドストライクは3月29日、3CXが提供する法人向けビデオ会議アプリ「3CXDesktopApp」でマルウェアを検出したと報告。悪意のある活動には、「インフラへのビーコン送信、セカンドステージのペイロードの展開、ごく少数のケースではキーボード操作」が含まれていたという。カスペルスキーは、北朝鮮と関連するとされる「ラビリンス・チョルリマ」の関与が疑われると述べた。

カスペルスキーは、感染した3CXDesktopAppの.exeファイル内で見つかったダイナミックリンクライブラリ(DLL)を調査。問題のDLLは、ゴプーラム(Gopuram)というバックドアを配信するために使用されていた。しかし、多くは悪意のあるペイロードではなかった。感染した3CXのソフトウェアは、ブラジル、ドイツ、イタリア、フランスで最も感染が多く、世界中で検出されている。しかし、カスペルスキーによると、ゴプーラムは10台未満のコンピュータにしか展開されていないという。

3CXは感染について、次のように語った。

「これは、「APT攻撃(スパイや妨害工作を行うための国家主導のサイバー攻撃)」によるターゲット型攻撃だ。マルウェアをダウンロードする対象を選んでいた可能性がある」

カスペルスキーによると、ゴプーラムは北朝鮮のラザルス・グループに帰属されるアップルジュースというバックドアと共存していることが判明している。

同社は過去に、東南アジアの仮想通貨企業でゴプーラム感染を見つけている。

カスペルスキーによると、3CXアプリは60万以上の企業、いくつかの大手ブランドを含めて使用されている。感染したアプリはDigiCert認証を受けていた。