ブロックチェーン調査員のZachXBTは2026年4月8日、北朝鮮のIT担当者が使用する内部決済サーバーから流出したデータを公開する全11回のスレッドを投稿し、2025年11月下旬以降に処理された決済額が350万ドル以上に上ることを明らかにしました。 主なポイント:
ZachXBTが、月間100万ドル規模の暗号資産から法定通貨への資金移動経路を示す北朝鮮の支払いデータを公開しました。
共有
- ZachXBTによる4月8日の調査により、2025年11月下旬以降に350万ドル以上を処理していた北朝鮮のIT担当者の決済サーバーが明らかになりました。
- 流出したユーザーリストには、OFAC(米国財務省外国資産管理室)の制裁対象であるSobaeksu、Saenal、Songkwangの3団体が記載されていました。
- この北朝鮮の内部サイトは2026年4月9日にオフラインとなりましたが、ZachXBTは全11回にわたるスレッドを公開する前にすべてのデータをアーカイブしていました。
北朝鮮のハッカーは内部の暗号資産決済サーバーでデフォルトパスワード「123456」を使用していました。
流出したデータは、情報窃取型マルウェアに感染した北朝鮮のIT担当者の端末から取得されたものです。匿名の情報源がZachXBTにファイルを共有し、ZachXBTは当該資料がこれまで公に公開されたことがないことを確認しました。抽出された記録には、約390件のアカウント、IPMsgのチャットログ、偽造された身元情報、ブラウザの履歴、および仮想通貨の取引記録が含まれていました。
調査の中心となった内部プラットフォームは「luckyguys.site」で、内部では「WebMsg」とも呼ばれていました。これはDiscord風のメッセンジャーとして機能し、北朝鮮のIT担当者がハンドラーに支払いを報告できるようにしていました。少なくとも10人のユーザーが、デフォルトのパスワードである「123456」を変更していませんでした。
ユーザーリストには、既知の北朝鮮IT要員の活動パターンと一致する役割、韓国名、都市名、暗号化されたグループ名が記載されていました。リストに登場する「Sobaeksu」「Saenal」「Songkwang」の3社は、現在も米国財務省外国資産管理局(OFAC)の制裁対象となっています。
支払いは「PC-1234」と特定された中央管理アカウントを通じて確認された。ZachXBTは「Rascal」というニックネームのユーザーからのダイレクトメッセージの例を公開し、そこには2025年12月から2026年4月にかけて、偽の身元情報に関連する送金の詳細が記されていた。一部のメッセージには請求書や商品の送付先として香港の住所が記載されていたが、その真偽は確認されていない。
関連する支払い用ウォレットアドレスには、その期間中に合計350万ドル以上が送金され、月平均で約100万ドルに相当します。労働者たちは偽造された法的文書や虚偽の身元情報を使って雇用を得ていました。暗号資産は取引所から直接送金されるか、Payoneerのようなプラットフォームを通じて中国の銀行口座経由で法定通貨に換金されていました。その後、管理者アカウント「PC-1234」が受領を確認し、さまざまな暗号資産やフィンテックプラットフォームの認証情報を配布していました。
オンチェーン分析により、これらの内部支払いアドレスは既知の北朝鮮ITワーカーのクラスターと結び付けられました。具体的には、イーサリアムアドレスと、2025年12月にテザー(Tether)によって凍結されたトロン(Tron)アドレスの2つが特定されています。
ZachXBTは全データセットを用いてユーザーごとおよびグループごとの支払い総額を含むネットワークの完全な組織構造をマッピングしました。彼は2025年12月から2026年2月までの期間を網羅したインタラクティブな組織図をinvestigation.io/dprk-itw-breachで公開しており、パスワード「123456」でアクセス可能です。
侵害されたデバイスとチャットログからは、さらなる詳細が明らかになりました。作業員たちはAstrill VPNと偽の身分を使って求人に応募していました。内部のSlackでの議論には、「Nami」というユーザーによる、北朝鮮の作業員がディープフェイクを使って応募した件に関するブログ記事の共有が含まれていました。また、管理者は2025年11月から2026年2月にかけて、逆アセンブル、逆コンパイル、デバッグを網羅したHex-RaysおよびIDA Proのトレーニングモジュール43個を作業員に送信していました。 共有されたリンクの一つは、特に悪意のあるPE実行ファイルの解凍について扱っていました。33人の北朝鮮IT作業員が、同じIPMsgネットワークを通じて通信していることが判明しました。別のログエントリには、ナイジェリアのプロキシを使用してGalaChainのゲーム「Arcano」から情報を窃取する計画が言及されていましたが、データからはその試みの結果は明らかではありませんでした。
ZachXBTは、このクラスターについて、ApplejeusやTradertraitorといった上位の北朝鮮グループに比べ、運用面での洗練度が低いと評しました。彼は以前、北朝鮮のIT作業員が総計で月間数百万ドルを稼いでいると推定していました。また、このような下位グループはリスクが低く競争も少ないため、脅威アクターを引き寄せていると指摘しました。
暗号資産ATM大手企業が、サイバー攻撃により370万ドル相当のビットコインを盗まれたと公表しました。
ビットコイン・デポが366万5000ドルのサイバー攻撃を受けた。同社によると、今回の侵害で顧客情報やATMの稼働に影響はなかったという。 read more.
今すぐ読む
暗号資産ATM大手企業が、サイバー攻撃により370万ドル相当のビットコインを盗まれたと公表しました。
ビットコイン・デポが366万5000ドルのサイバー攻撃を受けた。同社によると、今回の侵害で顧客情報やATMの稼働に影響はなかったという。 read more.
今すぐ読む暗号資産ATM大手企業が、サイバー攻撃により370万ドル相当のビットコインを盗まれたと公表しました。
今すぐ読むビットコイン・デポが366万5000ドルのサイバー攻撃を受けた。同社によると、今回の侵害で顧客情報やATMの稼働に影響はなかったという。 read more.
luckyguys.siteドメインは、ZachXBTが調査結果を公表した翌日の木曜日にオフラインとなりました。彼は、サイトが閉鎖される前にデータセット全体がアーカイブされたことを確認しました。この調査は、北朝鮮のIT要員グループがどのように報酬を受け取り、偽の身元を維持し、暗号資産や法定通貨システムを通じて資金を移動させているかを直接的に明らかにしており、これらのグループが活動を継続するために依存している規模と運用上の欠陥の両方を示す資料を提供しています。
