米国で拘束中の「MrICQ」ことJabber Zeusの疑惑コーダー

KrebsOnSecurityが得た情報によると、米国企業から数千万ドルを盗むために多発するハッキンググループと共謀したとして2012年に起訴されたウクライナ人男性がイタリアで逮捕され、現在米国で拘束されている。

捜査に近い情報筋によれば、ロシア支配下のウクライナ・ドネツク出身の41歳ユーリイ・イゴレヴィチ・リブツォフは、米国連邦の起訴状ではこれまでオンラインハンドル「MrICQ」としてのみ言及されていた。ネブラスカ州の検察官が提出した13年前の起訴状（PDF）によると、MrICQは「Jabber Zeus」として知られるサイバー犯罪グループの開発者だったという。

Jabber Zeusという名前は、彼らが使用したマルウェア—ZeuSバンキングトロイの木馬のカスタムバージョン—に由来している。このマルウェアは銀行のログイン認証情報を盗み、被害者が金融機関のウェブサイトでワンタイムパスコードを入力するたびにグループにJabberインスタントメッセージを送信していた。このギャングは主に中小企業を標的とし、「マン・イン・ザ・ブラウザ」攻撃、つまり被害者がウェブフォームに入力したデータを密かに傍受するマルウェアの先駆者でもあった。

被害企業の口座に侵入すると、Jabber Zeusのメンバーは給与支払いシステムを改ざんし、数十人の「マネーミュール」（在宅ワーク詐欺でリクルートされた銀行送金の受け渡し役）を追加した。ミュールたちは手数料を差し引いた上で盗まれた給与振込金をウクライナやイギリスの他のミュールに電信送金していた。

2012年のJabber Zeusクルーを狙った起訴状では、MrICQは「ジョン・ドウ3号」として名指しされ、この人物が新たに侵害された被害者の通知を受け取っていたとされる。米司法省（DOJ）は、MrICQがグループの強奪資金を電子通貨交換サービスを通じて資金洗浄するのも手伝っていたと述べている。

Jabber Zeusの捜査に詳しい2つの情報筋によれば、リブツォフはイタリアで逮捕されたが、正確な逮捕日や状況は不明のままだ。イタリア最高裁が公開した最近の判決要旨（PDF）によると、2025年4月にリブツォフは米国への身柄引き渡しを回避するための最終上訴に敗れたという。

マグショットサイトlockedup[.]wtfによれば、リブツォフは10月9日にネブラスカ州に到着し、米連邦捜査局（FBI）の逮捕状に基づき拘束されていた。

データ侵害追跡サービスConstella Intelligenceは、ビジネスプロファイリングサイトbvdinfo[.]comから漏洩した記録を発見し、41歳のユーリイ・イゴレヴィチ・リブツォフがドネツクのバルナウルスカ通り59番地の建物で働いていたことを示している。Constellaでこの住所をさらに調べると、同じアパートにJabber Zeusのウクライナ側リーダーであるヴャチェスラフ「タンク」ペンチュコフが登録した企業もあった。

ペンチュコフは2022年にスイスで妻と会うために渡航中に逮捕された。昨年、ネブラスカ州の連邦裁判所はペンチュコフに懲役18年の判決と7300万ドル超の賠償金支払いを命じた。

ローレンス・ボールドウィンは、ジョージア州を拠点とする脅威インテリジェンス企業myNetWatchmanの創設者で、2009年からJabber Zeusギャングの追跡と妨害を開始した。myNetWatchmanはウクライナ人ハッカーが使っていたJabberチャットサーバーへの秘密アクセスを獲得し、ボールドウィンはMrICQや他のJabber Zeusメンバー間の日々の会話を盗聴できた。

ボールドウィンはそのリアルタイムチャット記録を複数の州・連邦の法執行機関やこの記者に共有した。2010年から2013年の間、私は毎日数時間を費やし、全国の中小企業に対し、サイバー犯罪者によって給与口座がまもなく奪われることを警告していた。

こうした通知とボールドウィンの不断の努力により、数え切れないほどの潜在的被害者が多額の損失を免れた。しかし多くの場合、私たちはすでに手遅れだった。それでも、流出したJabber Zeusのグループチャットは、銀行と法廷で戦う中小企業に関する本サイトの数多くの記事の基礎となった。

ボールドウィンによれば、Jabber Zeusクルーは同業他社よりもはるかに先を行っていた。まず、傍受されたチャットから、彼らがオリジナルのZeusトロイの木馬の作者であるエフゲニー・ミハイロヴィチ・ボガチェフ（長年FBIの「最重要指名手配」リストに載っているロシア人）と直接やりとりし、高度にカスタマイズされたボットネットを作ろうとしていたことが分かる。米当局は、ボガチェフの逮捕につながる情報に300万ドルの懸賞金をかけている。

Jabber Zeusの中核的な革新は、被害者が金融機関を装ったフィッシングページでワンタイムパスワードコードを入力するたびにMrICQが受け取るアラートだった。このコンポーネントはギャング内で「Leprechaun」と呼ばれていた（下記myNetWatchmanの動画でその動作が見られる）。Jabber Zeusは実際に被害者のブラウザに表示されるHTMLコードを書き換え、銀行から送られる多要素認証用パスコードを傍受できた。

「彼らは非常に多くの被害者を侵害していたため、盗まれた銀行認証情報の津波に埋もれていた」とボールドウィンはKrebsOnSecurityに語った。「しかしLeprechaunの目的は、最も価値の高い認証情報、つまり二要素認証が有効な商業銀行口座を特定することだった。彼らは、これらが明らかに多額の資金を守っているため、はるかに魅力的な標的だと分かっていたのだ。」

ボールドウィンによれば、Jabber Zeusトロイの木馬には、ハッカーが被害者の感染PCを経由して銀行口座乗っ取りを中継できるカスタム「バックコネクト」コンポーネントも含まれていた。

「Jabber Zeusクルーは、被害者のIPアドレスやリモートコントロール機能を使って、被害者の銀行口座に実際に接続していた。完全にデバイスをエミュレートしていた」と彼は語る。「あのトロイの木馬は、当時最先端と考えられていた安全なオンラインバンキングをバターのように切り裂いていた。」

Jabber ZeusクルーはZeusの作者と直接連絡を取っていたが、myNetWatchmanが傍受したチャットでは、ボガチェフがしばしばグループの助けを求める声を無視していたことが分かる。政府は、Jabber Zeusクルーの真のリーダーはマクシム・ヤクベツで、ロシア国籍を持つ38歳のウクライナ人であり、ハッカーハンドル「Aqua」で知られていたと述べている。

ボールドウィンが傍受したJabberチャットでは、AquaがMrICQ、タンク、他のハッキングチームメンバーとほぼ毎日やりとりし、しばしばロシアからグループのマネーミュールや現金化活動を遠隔で支援していた。

政府によれば、ヤクベツ／Aquaは後に、内部で「Evil Corp」と呼ばれる少なくとも17人のハッカーからなるエリートサイバー犯罪組織のリーダーとして台頭した。Evil CorpのメンバーはDridex（別名Bugat）トロイの木馬を開発・使用し、米国と欧州の数百社から1億ドル以上を吸い上げた。

ヤクベツ逮捕につながる情報に対する政府の500万ドル懸賞金に関する2019年の記事には、Aqua、タンク、ボガチェフ、その他Jabber Zeusクルーメンバーが被害者について私が書いた記事を議論する会話の抜粋が含まれている。ボールドウィン氏と私は、Evil Corpの歴史を深く掘り下げるBBCの新しい週刊6部構成ポッドキャストのために長時間インタビューを受けた。第1話はZeusの進化に焦点を当て、第2話は元FBI捜査官ジム・クレイグによるグループの調査に迫っている。