ESET/サイバーセキュリティ情報局

北朝鮮ハッカーが「偽の求人」で侵入、ドローン技術を狙うサイバー攻撃の実態

• 
• シェア
• ツイートする
  一覧
• 

　ESET社の研究者は最近、北朝鮮とつながりのあるLazarusが展開するDreamJob作戦の新たな事例を確認しました。このキャンペーンでは、ヨーロッパの防衛産業に携わる複数の企業が標的となっており、その中にはドローン（無人航空機）分野に深く関わる企業も含まれていました。これは、北朝鮮が現在進めているドローン開発計画の強化と関係している可能性があります。本ブログでは、このキャンペーンによる広範な地政学的影響について解説し、攻撃者が使用したツールセットの概要を紹介します。

本ブログの要点：

・ドローン（無人航空機）技術を開発する企業へのLazarusによる攻撃は、最近報じられている北朝鮮のドローン計画の動向と符合しています

・攻撃者の主な狙いは、ドローン開発に関する機密情報や製造ノウハウの窃取であったと考えられます

・初期アクセスにはソーシャルエンジニアリングが用いられ、GitHubのオープンソースプロジェクトをトロイの木馬化する手法や、ScoringMathTeaペイロードの展開状況などから、新たなDreamJob作戦キャンペーンが進行している可能性があります
このグループの最大の進化は、一般のソフトウェアに紛れて密かに不正プログラムを動作
・させる「DLLプロキシング」のための新しいライブラリーを導入し、さらに脅威検出を回避するために新しいオープンソースプロジェクトを選んだことです

LAZARUSグループとDREAMJOB作戦の概要

　Lazarusグループ（別名：HIDDEN COBRA）は、北朝鮮とつながりのあるAPTグループであり、少なくとも2009年から活動していることが確認されています。このグループは、ソニー・ピクチャーズエンタテインメントのハッキング、2016年には数千万ドル規模の サイバー強盗、2017年にはWannaCryptor（別名WannaCry）のアウトブレイク、そして少なくとも2011年から長年にわたる韓国の公共および重要インフラストラクチャーへの破壊的を攻撃など大規模な企業や組織に対する攻撃を実行してきました。Lazarusグループのキャンペーンは、その多様性、攻撃数の多さ、奇癖を特徴としており、3つの主要なサイバー犯罪活動（サイバースパイ、サイバー空間での妨害行為、金銭的利益の追求）のすべてを実行しています。

　DreamJob作戦は、ソーシャルエンジニアリングを多用するLazarusのキャンペーンのコードネームで、特に憧れの仕事（DreamJob）を装った偽の求人を用い、有名企業や権威ある職位への就職を持ちかけて標的を騙している点が特徴です。このDreamJob作戦という名称は、ClearSkyが2020年のブログで命名しており、DeathNoteやNorth Star作戦などのキャンペーンと一部内容が重なる点もあります。主に標的となっている航空宇宙・防衛産業ですが、エンジニアリングやテクノロジー企業、さらにメディアやエンターテインメント業界も標的となっています。これらのキャンペーンでは、攻撃者は通常Notepad++やWinMergeといったソフトウェア向けのオープンソースのプラグインをトロイの木馬化して展開します。これらのプラグインは、ドロッパーやローダーとして機能し、ImprudentCook、ScoringMathTea、BlindingCan、miniBlindingCan、LightlessCan（Windows向け）、SimplexTea（Linux向け）などのペイロードを展開します。攻撃の主な目的は、機密データ、知的財産、独自のテクノロジー情報を窃取するサイバースパイ活動であり、金銭的な利益を得ることも副次的な狙いとされています。

概要

　2025年3月末から、ESET社のテレメトリデータで、DreamJob作戦キャンペーンに類似したサイバー攻撃が観測されました。ヨーロッパの防衛産業に関連する3社が連続的に標的となった攻撃が確認されました。標的となった企業の業種はやや異なっており、以下のように分類できます。

・金属工学企業（南東ヨーロッパ）
・航空機部品メーカー（中欧）
・防衛関連企業（中欧）

　すべての事例において、内部DLL名がDroneEXEHijackingLoader.dllという興味深い名前のドロッパーが使用されていました。このドロッパーの名前は、「ドローン業界」への攻撃の可能性を探るきっかけになりました。また、初期アクセスは、DreamJob作戦の常套手段であるソーシャルエンジニアリングによって行われた可能性が高いと考えられます。魅力的な偽の求人にマルウェアを組み合わせた攻撃手法が多く利用されています。標的となったユーザーは、求人内容を記したおとりドキュメントと、そのドキュメントを開くためのトロイの木馬化されたPDFリーダーを受け取ります。

　標的に展開された主なペイロードは、ScoringMathTeaと呼ばれるRATでした。攻撃者はこのRATによって侵害したマシンを完全に乗っ取ることができます。ScoringMathTeaが初めて特定されたのは2022年末であり、そのドロッパーはVirusTotalにアップロードされています。ScoringMathTeaは、そのすぐ後に実環境における攻撃で観測されており、それ以来、LazarusのDreamJob作戦キャンペーンにおける主なペイロードとして3年間にわたって使用され続けています。C&Cとの通信には侵害されたサーバーが利用されており、サーバーのコンポーネントは通常、WordPressのデザインテンプレートやプラグインを格納するフォルダー内に置かれています。

　ESET社は、以下の理由からこの活動がLazarus、特にDreamJob作戦に関連するキャンペーンによって実行されていると確信しています。

・初期アクセスがソーシャルエンジニアリングによって取得されており、標的が採用活動の一環だと信じて、求人情報のように偽装されたマルウェアを実行していること

・オープンソースプロジェクトをトロイの木馬化し、そのエクスポートをDLLサイドローディングに合わせて加工している手法が、DreamJob作戦特有のアプローチと考えられること

・後の攻撃段階で使用される主力のペイロードであるScoringMathTeaは、類似した複数の攻撃で過去に利用されていること

・今回標的となったヨーロッパ企業の業種が、過去のDreamJob作戦で狙われた航空宇宙、防衛、エンジニアリング分野と一致していること

地政学的背景

　今回標的となった3つの組織は、それぞれ異なる種類の軍事装備（またはその部品）を製造しており、その多くは現在、欧州諸国によるウクライナへの軍事支援の一環として実際に配備されています。DreamJob作戦の活動が観測されていた当時、北朝鮮兵士がロシアに派遣されており、クルスク州でのウクライナ軍の攻勢を食い止めるためにロシア軍を支援していたことが報じられています。したがって、DreamJob作戦は、ロシア・ウクライナ戦争で実際に使用されている西側製の兵器システムに関する機密情報を収集することを目的としていた可能性も考えられます。

　一般的に見れば、これらの企業はいずれも北朝鮮が自国でも製造している種類の軍需物資の生産に関わっており、北朝鮮はその設計や製造プロセスを改良するための情報を入手しようとしていた可能性があります。いずれにせよ、標的となったこれらの企業が韓国軍に軍事装備を供給しているという証拠はなく、その点がDreamJob作戦がこれらの企業に関心を示した理由であるとは考えにくいと言えます。しかし注意すべきなのは、これらの企業のうち少なくとも2社は無人航空機技術の開発に明確に関与していることです。1社はドローンの重要部品を製造し、もう1社は無人航空機関連ソフトウェアの設計に携わっていることが報告されています。

　このように無人航空機製造に関するノウハウへの関心が高まっていることには注意が必要です。何故なら、北朝鮮が自国のドローン製造能力への投資を強化しているという最近の報道と符号しているためです。北朝鮮によるドローン開発の取り組みは10年以上前にまでさかのぼることができますが、多くの専門家は、ロシア・ウクライナ戦争での近代戦争の経験が、北朝鮮におけるドローン開発への決意をさらに強めたと指摘しています。現在、北朝鮮政権は、イラン製の自爆型ドローン「シャヘド」の北朝鮮版を製造するための支援をロシアから受けていると報じられています。さらに、アフリカや中東諸国への輸出を目的とした低コスト攻撃型ドローンの開発にも取り組んでいるとみられます。

ドローンとの関連の評価

　明確なのは、北朝鮮が自国の無人航空機開発能力を高めるために、リバースエンジニアリングや知的財産の窃取を繰り返してきたことです。

 最近の公開情報に基づく報告によると、北朝鮮の現行旗艦偵察ドローンであるセッピョル 4は、ノースロップ・グラマン社製のRQ 4グローバルホークに酷似しています。また、多用途戦闘ドローンのセッピョル 9は、ジェネラル・アトミックス社製のMQ 9リーパーに酷似しています。

　興味深いことに、両ドローンの名称は、コピー元と考えられる米国製機体の番号を模しており、露骨な皮肉とも考えられます。これらの無人航空機の性能が米国製と必ずしも同等とは限らないものの、北朝鮮の無人航空機設計において、米国製ドローンが明確な参照元となったことは疑いようがありません。

　このような模倣や情報の窃取には、サイバー攻撃の能力が関わっている可能性があります。北朝鮮は西側のドローンを模倣する過程で、ほかの情報収集手段も活用した可能性が高い一方で、サイバースパイ活動が一定の役割を果たしていると考えられます。近年、特に無人航空機技術を含む航空宇宙分野に影響を与えた複数のキャンペーンが、北朝鮮とつながりのあるAPTグループによって実行されていますが、DreamJob作戦と一部が重複しているNorth Star作戦もその中に含まれています。2020年にESET社の研究者は類似のキャンペーンを公開しており、その後このキャンペーンを「Operation In(ter)ception：イン(ター)セプション作戦」と命名し、その後、この攻撃が高い確度でLazarusによるものであることが特定されました。Lazarusに関連する複数のグループが、米国当局やその他の機関によって北朝鮮の情報機関と正式に関連付けられていることを踏まえると、これまでの事例は、西側のドローンをリバースエンジニアリングするためにサイバースパイ活動が北朝鮮政権によって行われている可能性が極めて高く、Lazarus傘下のグループが、この取り組みに積極的に関与していると考えられます。

　このような背景から、DreamJob作戦の少なくとも一部の目的は、ドローンに関する独自技術や製造ノウハウの窃取を目的としていた可能性があります。特に、ドロッパーの1つにDroneというテキストが確認されていることから、この仮説はさらに強く裏付けられています。

　明確に言えば、DreamJob作戦が狙っていた具体的な情報の種類については推測の域を出ません。しかし、標的企業の1社が現在ウクライナで使用されている少なくとも2種類のドローン製造に関与しており、北朝鮮が前線で交戦していた可能性があったことも確認されています。この企業はさらに、高度なシングルローター型ドローン（無人ヘリコプター）のサプライチェーンにも関わっており、北朝鮮はこのタイプの航空機の開発を積極的に推進していますが、現時点では軍事利用には成功していません。これらは、DreamJob作戦で観測された活動の背後にある潜在的な動機の1つである可能性があります。北朝鮮はドローンを量産するための工場を建設中であると一般に報じられており、ドローン関連の産業プロセスや製造技術に関する専門的な知見を必要としている可能性があります。

ツールセット

　2024年9月におけるGoogle傘下のMandiantからの報告と2024年12月のKasperskyから報告では、Lazarusが2024年に実施したDreamJob作戦で使用したツールについて説明されています。 本セクションでは、2025年のDreamJob作戦で同グループが新たに利用し始めたツールについて解説します。攻撃チェーンで実行される場所に基づいて、これらのツールは、各種のドロッパー、ローダー、ダウンローダーで構成される初期ステージと、RATや複雑なダウンローダーなどのペイロードで構成され、攻撃者が侵害したマシンを完全に乗っ取ることができるようにするメインステージの2つのタイプに分類されます。

　ESET社のテレメトリで観測された実環境での攻撃事例に加え、この攻撃者の活動は同時期にVirusTotalへの提出からも確認されています。具体的には、トロイの木馬化されたMuPDFリーダー、QuanPinLoader、Microsoft DirectInputライブラリー（dinput.dll）を偽装したローダー、ScoringMathTeaの亜種が、2025年4月と6月にイタリアから提出され、BinMergeLoaderは2025年8月にスペインから提出されています。

ドロッパー、ローダー、ダウンローダー

　一般的に、Lazarusは非常に活発に活動しており、複数の標的に対してバックドアを展開しています。バックドアを頻繁に運用しているため、使用されるツールが検知されやすくなる傾向があります。その対策として、Lazarusのツールは実行チェーンの前に、ドロッパー、ローダー、簡易なダウンローダーの一連のツールを配置しています。通常、これらのローダーは、次のステージで使用するコンポーネントをファイルシステムやレジストリから探し出し、AES-128やChaCha20で復号化した後、MemoryModuleライブラリーを用いたルーチンでメモリー上に手動ロードします。ドロッパーも基本的にはローダーと同様の機能を持ちますが、次のステージのコンポーネントを自身の実行ファイル内に埋め込んでいる点が異なります。観測されたすべての事例で、メインペイロードであるScoringMathTeaは、ディスクに暗号化されずに保存されることはありません。実行チェーンの例を図1に示します。攻撃者はBinMergeLoaderと呼ばれる複雑なダウンローダーを展開する場合もあります。このダウンローダーはGoogle傘下のMandiantが報告したMISTPENマルウェアに類似しています。BinMergeLoaderはMicrosoft Graph APIを悪用し、認証にMicrosoft APIトークンを使用します。

　Lazarusは、悪意あるロードルーチンをGitHub上のオープンソースプロジェクトに組み込むようになりました。使用されるプロジェクトは攻撃ごとに異なります。2025年にESET社が観測したマルウェアは以下の通りです。

・ダウンローダーとして機能する、トロイの木馬化されたTightVNC ViewerおよびMuPDFリーダー

・ローダーとして機能する、トロイの木馬化されたサポートが終了しているWindowsのlibpcre v8.45ライブラリー

・リソースに中国標準語の漢字「样（ピンイン：yàng）」のアイコンが設定されたローダー。さらに、文字列SampleIMESimplifiedQuanPin.txtが含まれており、オープンソースプロジェクトSample IME（TSFベースの入力方式エディタのデモ版）をベースにしていると考えられます。ESET社は、このローダーをQuanPinLoaderと命名しました

・DirectX Wrappersのオープンソースプロジェクトから構築されたローダー

・WinMerge用のオープンソースプラグイン（DisplayBinaryFilesおよびHideFirstLetter）をベースに構築されたダウンローダー。ESET社は、トロイの木馬化されたこれらの2つのプラグインを BinMergeLoaderと命名しました

・トロイの木馬化されたNotepad++向けオープンソースプラグイン、これは具体的にはBinMergeLoaderに酷似したダウンローダー（MacKenzie Cumingsが作成したNPPHexEditorv10.0.0）と不明なペイロードのドロッパー（Pavel Nedevが作成したComparePlus v1.1.0）です。後者のバイナリにはPDBパス（E:\Work\Troy\안정화\wksprt\comparePlus-master\Notepad++\plugins\ComparePlus\ComparePlus.pdb）が含まれています。これらから、元のプロジェクトがcomparePlus-masterであり、想定されていた正規の親プロセスがwksprtであることが分かります。また、안정화は韓国語で「安定」を意味し、コードが適切にテストされ、信頼できる可能性が高いことを示しています

　ドロッパーの1つ（SHA-1：03D9B8F0FCF9173D2964CE7173D21E681DFA8DA4）は、内部DLL名がDroneEXEHijackingLoader.dllで、サイドローディングを成功させるためにWindows Web Services Runtimeライブラリーを偽装しています（図2を参照）。droneという文字列は、ドローン機器と攻撃者の内部キャンペーン名の両方を示すために使われているようです。

　表1は、標的となった組織のシステムに配信される正規の実行ファイルと悪意あるDLLの典型的な組み合わせを示しています。これは、2023年にスペインの航空宇宙企業を標的とした攻撃について解説したESET社のブログの表1に似ています。3番目の列のDLLは、トロイの木馬化されたオープンソースアプリケーション（4番目に元のプロジェクトを記載）またはスタンドアロンのマルウェアバイナリであり、正規のEXEによってサイドローディングされます。1番目の列に示しているフォルダーの場所は、正規のアプリケーションの通常の場所ではありません。悪意あるDLLは、「DLLプロキシング」の手法を使用して、マルウェアの実行を妨げないようにしています。そのため、DLLがトロイ化されたプロジェクトである場合、まずDLLプロキシング用に必要な関数群が含まれ、さらにオープンソースプロジェクトからエクスポートされた関数群も別途含まれる、という2種類の異なるエクスポート構成になっています。=

* VirusTotalへの投稿と、想定される親プロセスを示します。トロイの木馬化されたプロジェクトから復号するために、長いコマンドライン引数が必要であり、このペイロードは不明になっています。

ScoringMathTea

　ScoringMathTeaは、約40のコマンドに対応する複雑なRATです。この名前は、初期の亜種が使用していたC&CドメインScoringMath（www.scoringmnmathleague[.]org）をもとに、ESET Researchが北朝鮮関連のペイロードを示す際のサフィックス-Teaを付したものです。このRATは、2023年4月にKasperskyによって初めて公に文書化され、その後2023年10月にMicrosoftによってForestTigerと名前で文書化されています。この名前は、一部の検体で使用されていた内部DLL名やPDB情報に基づいています。

　最初の出現は、2022年10月のポルトガルおよびドイツからのVirusTotalへの投稿にさかのぼります。そのときには、ドロッパーはAirbus社の求人を偽装していました。このRATが備える機能は、Lazarusで一般的に見られる標準的なもので、具体的にはファイルやプロセスの操作、設定情報のやり取り、被害者システムの情報収集、TCP接続の確立、C&Cサーバーから取得したローカルコマンドや新たなペイロードの実行などが含まれます。現在のバージョンでも、機能セットやコマンド解析に大きな変化は見られません。つまり、このペイロードでは、継続的に、比較的小規模な改善やバグ修正が行われていると考えられます。

　ESET社のテレメトリによると、ScoringMathTeaは、2023年1月のインドのテクノロジー企業、2023年3月のポーランドの防衛企業、2023年10月のイギリスの産業オートメーション企業、2025年9月のイタリアの航空宇宙企業への攻撃で確認されています。このような背景から、LazarusがLightlessCanなどさらに高度なペイロードを保有しているにもかかわらず、ScoringMathTeaがDreamJob作戦キャンペーンで使用されている主力ペイロードの1つであることが示唆されます。

結論

　ほぼ3年間にわたり、Lazarusは一貫した手口を維持しており、主力ペイロードであるScoringMathTeaを展開するとともに、オープンソースアプリケーションをトロイの木馬化する類似の手法を用いています。このような戦略は予測できるものですが、一定の効果があり、セキュリティシステムによる検出を回避できるだけの十分な変化を取り入れることはできます。しかし、グループの正体を隠し、攻撃の帰属を完全に曖昧にすることはできません。また、DreamJob作戦やそのソーシャルエンジニアリング手法が広く報道されているにもかかわらず、テクノロジー、エンジニアリング、防衛などの重要産業で働く従業員の意識は十分に高まっておらず、不審な採用プロセスを見抜いて潜在的なリスクに対応できていません。

　ほかの仮説も考えられますが、今回のDreamJob作戦は、少なからずドローン関連技術の機密情報を収集することを目的としていた可能性が高いと考えられます。北朝鮮が現在、ドローン産業やドローン兵器の拡充に取り組んでいることを踏まえると、今後、この分野で活動するほかの組織も北朝鮮とつながりのあるサイバー攻撃グループの標的となる可能性があります。

IOC（セキュリティ侵害の痕跡）

　IoC（セキュリティ侵害の痕跡）の詳細なリストと検体は、ESETのGitHubリポジトリに掲載されています。

ネットワーク

IP	ドメイン	ホスティングプロバイダー	最初に確認された日付	詳細
23.111.133[.]162	coralsunmarine [.]com	HIVELOCITY, Inc.	2024年6月6日	ScoringMathTeaのC&Cサーバー： coralsunmarine[.]com/wp-content/themes/flatsome/inc /functions/function-hand.php
104.21.80[.]1	kazitradebd[.]com	Cloudflare, Inc.	2025年1月11日	ScoringMathTeaのC&Cサーバー： kazitradebd[.]com/wp-content/ themes/hello-elementor/includes/ customizer/customizer-hand.php
70.32.24[.]131	oldlinewoodwork [.]com	A2 Hosting, Inc.	2024年6月14日	ScoringMathTeaのC&Cサーバー： oldlinewoodwork[.]com/wp-content/themes/zubin/ inc/index.php
185.148.129[.]24	www.mnmathleague [.]org	A2 Hosting, Inc.	2024年6月15日	ScoringMathTeaのC&Cサーバー： www.mnmathleague[.]org/ ckeditor/adapters/index.php
66.29.144[.]75	pierregems[.]com	Namecheap, Inc.	20248月11日	ScoringMathTeaのC&Cサーバー： pierregems[.]com/wp-content/themes/woodmart/inc/ configs/js-hand.php
108.181.92[.]71	www.scgestor. com[.]br	Psychz Networks	2024年7月15日	ScoringMathTeaのC&Cサーバー： www.scgestor.com[.]br/wp-content/themes/vantage/inc/ template-headers.php
104.247.162[.]67	galaterrace[.]com	GNET Internet Telekomunikasyon A.S.	2024年6月27日	ScoringMathTeaのC&Cサーバー： galaterrace[.]com/wp-content/themes/hello-elementor/includes/functions.php
193.39.187[.]165	ecudecode[.]mx	Heymman Servers Corporation	2025年5月14日	ScoringMathTeaのC&Cサーバー： ecudecode[.]mx/redsocial/wp-content/themes/buddyx/inc/ Customizer/usercomp.php
172.67.193[.]139	www.anvil.org[.]ph	Cloudflare, Inc.	2025年2月22日	ScoringMathTeaのC&Cサーバー： www.anvil.org[.]ph/list/images/ index.php
77.55.252[.]111	partnerls[.]pl	Nazwa.pl Sp.z.o.o.	2025年6月2日	ScoringMathTeaのC&Cサーバー： partnerls.pl/wp-content/themes/ public/index.php
45.148.29[.]122	trainingpharmacist. co[.]uk	Webdock.io ApS	2024年6月13日	ScoringMathTeaのC&Cサーバー： trainingpharmacist.co.uk/ bootstrap/bootstrap.php
75.102.23[.]3	mediostres barbas.com[.]ar	DEFT.COM	2024年6月5日	ScoringMathTeaのC&Cサーバー： mediostresbarbas.com[.]ar/ php_scrip/banahosting/index.php
152.42.239[.]211	www.bandarpowder [.]com	DigitalOcean, LLC	2024年9月19日	ScoringMathTeaのC&Cサーバー：www.bandarpowder[.]com/public/ assets/buttons/bootstrap.php
95.217.119[.]214	spaincaramoon [.]com	Hetzner Online GmbH	2025年4月30日	ScoringMathTeaのC&Cサーバー： spaincaramoon[.]com/realestate/ wpcontent/plugins/gravityforms/ forward.php

MITRE ATT&CKの技術

　この表は、MITRE ATT&CKフレームワークのバージョン17を使用して作成されています。

手法	ID	名前	説明
リソース開発	T1584.004	インフラストラクチャの乗っ取り：サーバー	ScoringMathTeaは、侵害したサーバーをC&Cに使用します。
	T1587.001	開発能力：マルウェア	この攻撃者は、攻撃のためのすべてのステージを自ら開発していると考えられます。
実行	T1106	ネイティブAPI	ScoringMathTeaを動作させるためにはWindows APIが必要であり、APIは実行時に動的に解決されます。
	T1129	共有モジュール	ScoringMathTeaは、ダウンロードしたDLLをエクスポートfun00やexportfun00と一緒にロードすることができます。
	T1204.002	ユーザーによる実行：悪意のあるファイル	Lazarusによる攻撃では、トロイの木馬化されたPDFリーダーをユーザーに実行させる必要があります。
常駐化	T1574.002	ハイジャックの実行フロー：DLLサイドローディング	トロイの木馬化されたドロッパー（webservices.dll、radcui.dll）は、ロードのために正規のプログラム（wksprt.exe、wkspbroker.exe）を使用します。
防衛機能の回避	T1134.002	アクセストークンの操作：トークンによるプロセスの作成	ScoringMathTeaは、指定されたトークンで示されるユーザーのセキュリティコンテキストで新しいプロセスを作成します。
	T1140	ファイルや情報の難読化解除と復号	主力のペイロードであるScoringMathTeaは、ファイルシステムで常に暗号化されます。
	T1027.009	ファイルや情報の難読化：動的なAPI解決	ScoringMathTeaは、Windows APIを動的に解決します。
	T1027.009	ファイルや情報の難読化：ペイロードの埋め込み	すべての悪意のある攻撃チェーンで使用されるドロッパーには、次のステージで使用されるデータ配列が埋め込まれています。
	T1620	リフレクティブコードのローディング	これらのドロッパーとローダーは、反射型DLLインジェクションを使用します。
	T1055	プロセスインジェクション	ScoringMathTeaとBinMergeLoaderは、指定されたPIDのプロセス内でDLLをメモリ上から直接読み込んで実行できます。
探査	T1083	ファイルおよびディレクトリの検出	ScoringMathTeaは、名前によってファイルを検出できます。
	T1057	プロセスの検出	ScoringMathTeaは、実行中のすべてのプロセスを一覧表示できます。
	T1082	システム情報の検出	ScoringMathTeaは、verコマンドを模倣できます。
C&C（コマンド&コントロール）	T1071.001	アプリケーションレイヤープロトコル：Webプロトコル	ScoringMathTeaとBinMergeLoaderは、C&Cとの通信にHTTPとHTTPSを使用します。
	T1573.001	暗号化されたチャンネル：対称暗号方式	ScoringMathTeaは、C&Cとの通信をIDEAアルゴリズムで暗号化し、BinMergeLoaderはAESアルゴリズムで暗号化します。
	T1132.001	データのエンコーディング：標準エンコーディング	ScoringMathTeaは、暗号化したC&C通信にさらにBase64エンコードレイヤーを追加します。
情報の外部への送信	T1041	C&Cチャネルからの送信	ScoringMathTeaは、C&Cサーバーにデータを流出させることができます。