ZachXBT氏が北朝鮮の偽IT開発者による不正行為を暴露
ハッキングされたデバイスから、北朝鮮の開発者たちが複数のプロジェクトに携わりながら、秘密裏に数百万ドル相当の仮想通貨を稼いでいた実態が明らかになった。
1/ Recently an unnamed source shared data exfiltrated from an internal North Korean payment server containing 390 accounts, chat logs, crypto transactions.
I spent long hours going through all of it, none of which has ever been publicly released.
It revealed an intricate… pic.twitter.com/aTybOrwMHq
— ZachXBT (@zachxbt) April 8, 2026
最近、匿名の情報源から、北朝鮮の内部決済サーバーから流出したデータ(390件のアカウント、チャットログ、仮想通貨取引記録を含む)が共有されました。私は何時間も…
ブロックチェーン調査員のZachXBTによると、流出した大量の内部データから、北朝鮮のIT開発者らが、偽の開発者IDと巧妙な決済システムを用いた組織的不正行為により、ここ数カ月で350万ドル(約5.6億円)以上の仮想通貨を稼いでいたことが判明。この情報は、匿名のハッカーが関係者のデバイスを侵害したことで明らかになった。ハッカーは、約390のアカウントに関連付けられた内部決済サーバーの記録に加え、チャットログ、ブラウザーデータ、就職のために偽造された身分証明書などを流出させた。
調査結果は、労働者が偽の身元、脆弱(ぜいじゃく)なセキュリティ、組織的なシステムを利用して、毎月約100万ドルを処理していたことを示している。
北朝鮮の仮想通貨不正行為
このデータセットによると、不正行為によって毎月約100万ドルが稼ぎ出され、個人は偽造された認証情報を使って複数のプロジェクトに関わり、内部プラットフォームを通じて収益を分配していた。
データセットには、IPMsgのチャットログ、アカウントリスト、不正行為に関連するブラウザー履歴が含まれており、ユーザーは、送金ハブとして説明されているluckyguys[.]siteというプラットフォームについて議論。ZachXBT氏は、通信と支払いの追跡は「luckyguys.site」と呼ばれるプラットフォームを通じて行われていたことを明らかにし、このプラットフォームは内部ハブとして機能し、従業員は取引を記録し、管理者に収入を報告していた。
また、このプラットフォームはセキュリティ対策が最小限で、複数ユーザーが初期パスワードを使用していたとみられる。ユーザーリストには、役割、所在地、グループ識別子など、北朝鮮IT労働者の組織構造に類似した情報が含まれており、Sobaeksu(ソベクス)、Saenal(セナル)、Songkwang(ソンクァン)といった組織へのリンクも含まれている。これらの企業は現在OFACの制裁対象となっており、このネットワークが以前に特定された不正行為と関連していることが示唆されている。
ブロックチェーン追跡で北朝鮮関連ウォレットとのつながりが判明
チャット記録によると、中央管理者アカウントが送金の確認と各種金融サービスの口座認証情報の配布を担当。支払いは通常、一定のパターンに従って行われ、取引所や顧客から仮想通貨で受け取った資金は法定通貨に換金され、決済プラットフォームを利用して中国の銀行口座を経由して送金されていた。
これら資金の流れをブロックチェーン上で追跡した結果、以前特定された北朝鮮関連のウォレットとの繋がりが明らかになり、その中には2025年後半にテザー(Tether)によって凍結されたアドレスも含まれていた。
「Jerry」名で活動していたユーザーに関連付けられた侵害されたデバイスから抽出されたデータからは、VPNサービスの広範な利用と、求人応募のための複数の偽のペルソナが判明。内部会話では、ディープフェイクに関連した採用上の懸念や、ネットワーク内での外部情報共有の制限について言及。あるユーザーは、ナイジェリアのプロキシサーバーを介してGalaChainプロジェクト「Arcano」を標的にすることについて議論。しかし、データからは実際に攻撃が行われたかどうかは確認できていない。
さらに、ログからは、33人の作業員が同じ通信システム内で同時に活動していたことも示唆。グループ内ではトレーニング資料が広く共有されていた。
