- 北朝鮮のIT労働者が月100万ドルの暗号資産詐欺ネットワークを構造化されたパイプラインで運営していた。
- 脆弱なパスワードとOFACリストに掲載された企業が主要な運用上の脆弱性を露呈した。
- トレーニングログは収益のための組織的なリバースエンジニアリングと身元詐欺を明らかにしている。
ブロックチェーンアナリストZachXBTによる最近の調査で、北朝鮮のIT労働者に関連する大規模な内部侵害が明らかになった。流出したデータは、390のアカウント、チャットログ、暗号資産取引のネットワークを露呈した。
さらに、調査結果は、詐欺的な身元と金融詐欺を通じて月間約100万ドルを処理する組織的なシステムを明らかにしている。その結果、この侵害はこれらの活動が舞台裏でどのように機能しているかについて稀な可視性を提供している。
ZachXBTは、匿名の情報源が北朝鮮のIT労働者に関連するデバイスを侵害した後にデータを提供したと報告した。感染は情報窃取マルウェアから発生し、IPMsgチャットログ、ブラウザ履歴、身元記録を抽出した。
さらに、ログはluckyguys[.]siteと呼ばれるプラットフォームを明らかにし、これは内部コミュニケーションハブとして機能していた。このシステムは、支払いの報告と活動の調整のためのプライベートメッセージングサービスのように機能していた。
決済インフラと運用フロー
データは、暗号資産フローを法定通貨への変換に接続する構造化された決済パイプラインを示している。ユーザーは取引所から資金を送金したり、中国の銀行口座やPayoneerなどのフィンテックプラットフォームを通じて資産を変換した。したがって、ネットワークは複数のチャネルにわたって安定した流動性を維持していた。
特筆すべきは、内部サーバーが複数のアカウントで脆弱なデフォルトパスワード123456を使用していたことである。この見落としはシステム内の深刻なセキュリティギャップを露呈した。
プラットフォームには、ユーザーの役割、韓国名、位置データが含まれており、これらは既知の北朝鮮IT労働者の構造と一致していた。さらに、ネットワークに関連する3社がOFAC制裁リストに掲載されており、Sobaeksu、Saenal、Songkwangが含まれていた。
ZachXBTは、2025年11月下旬以降、関連するウォレットアドレスに流入した350万ドル以上の取引を特定した。一貫したパターンは、PC-1234というラベルの付いた管理者アカウントによる集中確認を含んでいた。このアカウントは支払いを検証し、取引所やフィンテックプラットフォームの認証情報を配布していた。
さらに、運営に関連する1つのTronウォレットは、2025年12月にTetherによって凍結された。この措置は、国家支援グループに関連する不正な暗号資産活動に対する執行圧力の高まりを強調した。
運用の深さとトレーニング活動
侵害は内部討議とトレーニング資料も露呈した。内部Slackチャネルは、33人の北朝鮮IT労働者がIPMsgを通じて同時にコミュニケーションを取っている様子を示した。さらに、管理者はIDA ProやHex-Raysなどのツールに関する43のトレーニングモジュールを配布していた。
これらの資料は、リバースエンジニアリング、デバッグ、ソフトウェア悪用技術をカバーしていた。その結果、グループはAppleJeusやTraderTraitorのような高度なグループと比較して限られた洗練度にもかかわらず、構造化されたトレーニングを実証した。しかし、運用の規模は依然として重要な収益源を生み出していた。
流出したログは、就職浸透のために偽の身元とディープフェイクアプリケーションを使用する試みについても言及していた。さらに、一部の会話はゲームプラットフォームと金融サービスをターゲットにすることをカバーしていた。
関連: SBI Ripple AsiaがXRP Ledger(XRPL)上でトークン発行プラットフォームを完成
免責事項:本記事に記載されている情報は、情報提供および教育目的のみを目的としています。本記事は、財務アドバイスまたはいかなる種類のアドバイスも構成するものではありません。Coin Editionは、言及されているコンテンツ、製品、またはサービスの利用の結果として発生したいかなる損失についても責任を負いません。読者は、会社に関連する行動を取る前に注意を払うことをお勧めします。
出典: https://coinedition.com/dprk-it-network-breach-exposes-1m-month-fraud-scheme/
