米国司法省(DoJ)は、北朝鮮が主導するグローバルIT労働者計画に関連するとされる暗号資産、非代替性トークン(NFT)、その他のデジタル資産に対して、7.74百万ドル以上を対象とした民事没収訴訟を連邦裁判所に提出したと発表しました。
「長年にわたり、北朝鮮はグローバルなリモートIT契約と暗号資産エコシステムを利用して米国の制裁を回避し、兵器プログラムの資金を調達してきました」と、司法省国家安全保障部門の責任者であるSue J. Bai氏は述べました。
司法省によれば、これらの資金は、北朝鮮の外国貿易銀行(FTB)の代表であるSim Hyon-SopがIT労働者と共謀したとされる2023年4月の起訴に関連して元々制約されていたものです。
同省は、IT労働者が偽の身分を使って米国の暗号資産企業に就職し、不正に得た利益をSimを通じて洗浄し、米国財務省外国資産管理局(OFAC)および国連が課した制裁を違反して平壌の戦略的目的を進めたと述べました。
この詐欺的な計画は、2017年に始まって以来、進化し、大規模な作戦に発展しました。この違法な雇用作戦は、盗まれた身分と架空の身分を組み合わせ、OpenAI ChatGPTのような人工知能(AI)ツールを利用して、デューデリジェンスチェックを回避し、フリーランスの仕事を確保します。
WagmoleおよびUNC5267というコードネームで追跡されているこの活動は、朝鮮労働党と関連していると評価されており、IT労働者を正当な企業に組み込んで北朝鮮に安定した収入源を提供するための計画的に設計された戦略と見なされています。
身分や所在地を偽ることに加えて、この作戦の核心的な側面には、世界中でラップトップファームを運営し、ビデオインタビューステージを可能にし、さまざまなアカウントを通じて収益を洗浄するためのファシリテーターの募集が含まれています。
そのようなラップトップファームのファシリテーターの一人がChristina Marie Chapmanであり、彼女は今年2月に不正な収益再生計画への関与を認めました。先月発表された報告書で、The Wall Street Journalは、2020年3月のLinkedInメッセージが、TikTokで10万人以上のフォロワーを持つ元ウェイトレス兼マッサージセラピストのChapmanをこの複雑な詐欺に引き込んだ方法を明らかにしました。彼女は7月16日に判決を受ける予定です。
「これらの資金を洗浄した後、北朝鮮のIT労働者は、時にはSimやKim Sang Manを通じて、北朝鮮政府に送金したとされています」とDoJは述べました。「Kimは北朝鮮の国民で、『Chinyong』または『Jinyong IT Cooperation Company』の最高経営責任者です。」
TRM LabsによるSimの暗号資産ウォレットの分析では、2021年8月から2023年3月までに2400万ドル以上の暗号資産を受け取っていることが明らかになりました。
 |
| 北朝鮮組織評価 |
「これらの資金のほとんどは、偽造されたロシアの身分証明書を使用して開設され、U.A.E.およびロシアから操作された韓国語デバイスからアクセスされたKimのアカウントに追跡されました」とTRM Labsは述べました。「北朝鮮の役人であるSimはドバイから活動し、数十のソースから洗浄された資金を受け取るセルフホスト型ウォレットを維持していました。」
ロシアのウラジオストクを拠点とするKimは、IT労働者とFTBの間の仲介者として活動し、彼らから資金を集め、Simや北朝鮮に関連する他のウォレットに収益を再分配しました。
サイバーセキュリティ企業DTEXは、IT労働者の脅威を、主に制裁回避と利益生成を目的とした国家支援の犯罪組織として特徴付けており、脅威アクターは徐々にラップトップファームから企業の「持ち込みデバイス(BYOD)」ポリシーの一環として自分のマシンを使用する方向にシフトしています。
「機会は本当に彼らの唯一の戦術であり、すべてが何らかの道具として扱われています」と、DTEX SystemsのDTEX Principal i3 Insider Risk InvestigatorであるMichael Barnhart氏はThe Hacker Newsに語りました。
「ラップトップファームに焦点が当てられている場合、それが非常に効果的にその言葉を広めているので、自然にこの機会主義的な国は、運用に影響を与える場合にはるかに簡単な道に引き寄せられます。ラップトップファームが全く効果がなくなるまで、それは依然として選択肢であり続けますが、BYODの乱用はDTEXが調査で見たものであり、ファームほど公表されていませんでした。」
DTEXはさらに、これらのIT労働者が2つのカテゴリーのいずれかに分類される可能性があると指摘しました:収益IT労働者(R-ITW)または悪意のあるIT労働者(M-ITW)、それぞれが北朝鮮のサイバー構造内で独自の機能を持っています。
R-ITWの人員は、体制のためにお金を稼ぐことを主な動機とする特権の少ない者とされている一方で、M-ITWのアクターは、被害者のクライアントを恐喝したり、暗号資産サーバーを破壊したり、貴重な知的財産を盗んだり、環境で悪意のあるコードを実行したりすることで、収益生成を超えています。
インサイダーリスク管理会社によれば、Chinyongは、ブロックチェーンプロジェクトへのインサイダーアクセスを活用して、フリーランスのIT作業と暗号資産の盗難を組み合わせて労働者を展開している多くのIT企業の一つです。それは中国、ラオス、ロシアで活動しています。
Chinyong関連のIT労働者の取り組みに関連する2人の個人が、北朝鮮のために資金を集めるためにNaoki MuranoとJenson Collinsのペルソナを使用していたことが明らかにされました。Muranoは以前、2024年9月に暗号資産企業DeltaPrimeでの600万ドルの強奪に関連していました。
「最終的に、DPRKに関連するラップトップファームとリモートワーカー計画の検出には、従来の妥協指標を超えてインフラストラクチャ、行動、アクセスについて異なる質問を始める必要があります」とセキュリティ研究者のMatt Ryanは述べました。「これらのキャンペーンは単にマルウェアやフィッシングに関するものではなく、正当なリモートワークとシームレスに融合する方法で実行される大規模な欺瞞に関するものです。」
数百万ドル規模の詐欺に関するさらなる調査では、IT労働者に偽の推薦状を提供するために使用されたさまざまなフロント企業のために設定された偽のドメインに関連するいくつかのアカウントが発見されました。これらのアカウントは情報窃盗マルウェアに感染しており、Flashpointは彼らの工作のいくつかの側面を特定することができました。
同社は、パキスタンのラホールにある保存された資格情報を含むメールアカウントの資格情報が保存されている侵害されたホストを特定しました。このメールアカウントは、Baby Box Info、Helix US、Cubix Tech USに関連するドメインを登録する際の連絡先として使用されていました。
さらに、別のインスタンスでスティーラーマルウェアによってキャプチャされたブラウザ履歴には、英語と韓国語の間の翻訳に関連するGoogle翻訳のURLが含まれており、偽の職務推薦状の提供や電子機器の出荷に関連するものが含まれていました。
それだけではありません。最近の研究では、北朝鮮のIT労働者がアジアに物理的に位置している間にラップトップファームで会社発行のラップトップに持続的なアクセスを確立するために使用した「秘密の多層リモートコントロールシステム」が明らかにされました。
「この作戦は、Zoomを使用してリモートアクセスを維持し、データの可視性と制御を可能にするために、低レベルのプロトコルシグナリングと正当なコラボレーションツールの組み合わせを活用しました」とSygniaは2025年4月に発表された報告書で述べました。「攻撃チェーンは[…]イベントベースのアクションをトリガーするためにARPパケットを悪用し、カスタムWebSocketベースのコマンドアンドコントロール(C2)チャネル、およびZoomのリモートコントロール機能の自動化を含んでいました。」
「ステルス性と自動化をさらに強化するために、特定のZoomクライアント設定が必要でした。設定は、ユーザー向けのインジケーターや視聴覚の妨害を防ぐために細心の注意を払って調整されました。ユーザーは常にサインインし、参加時にビデオとオーディオが自動的にミュートされ、参加者名が非表示になり、画面共有が目に見えるインジケーターなしで開始され、プレビューウィンドウが無効化されました。」
Wagemoleに補完的に実行されているのは、Contagious Interview(別名DeceptiveDevelopment、Famous Chollima、Gwisin Gang、Tenacious Pungsan、UNC5342、Void Dokkaebi)と呼ばれる別のキャンペーンであり、主に開発者を標的にして不正な会社アクセスを得ることを目的としています。
「Gwisin Gangは、仕事に応募する長いプロセスを経る代わりに、すでにその仕事を持っている人を標的にするIT労働者です」とBarnhart氏は述べました。「彼らはこの概念を反映するマルウェア使用を持っており、非常に独自であるように見えます。IT労働者は包括的な用語であり、彼らの中には多くのスタイル、種類、スキルレベルがあります。」
今後数年間でIT労働者計画がどのように進化する可能性があるかについて、Barnhart氏は伝統的な金融セクターをターゲットにすると指摘しています。
「ブロックチェーンとWeb3技術の伝統的な金融機関への導入により、DPRKのサイバー資産は過去に起こっていたようにこれらの企業を狙うことになると思います」とBarnhart氏は指摘しました。「これらの技術と統合するほど、DPRKが非常に深く関与しているため、より注意が必要です。」
翻訳元: https://thehackernews.com/2025/06/us-seizes-774m-in-crypto-tied-to-north.html