北朝鮮の国家支援型脅威アクターが、通常は他者への攻撃に使われるのと同種のマルウェアに感染し、その活動実態と、記録上最大級の暗号通貨窃盗の一つとの直接的なつながりに関する貴重な洞察が明らかになった。今回は、立場が逆転した形だ。
この感染は、サイバー犯罪インテリジェンス企業Hudson RockがLummaC2インフォスティーラーのログを分析する過程で検知した。当初はありふれた感染に見えたが、実際はまったく違っていた。侵害されていたマシンは、北朝鮮の国家系サイバー組織内で活動するマルウェア開発者のものだった。
14億ドル相当のBybit暗号資産取引所侵害との関連
Hudson Rockは、このデータを脅威インテリジェンス企業Silent Pushの過去の調査結果と照合した。両者の調査はいずれも同じ結論を指し示していた――感染したマシンは、14億ドル相当が盗まれたBybit暗号資産強盗を支えたセットアップの一部として使われていたのだ。
なお、2025年2月に暗号資産取引所Bybitを標的としたこのデータ侵害については、以前から北朝鮮の脅威アクターとの関連が指摘されており、広くラザルス・グループとつながりがあるとみなされている。
Hudson RockがHackread.comと共有したレポートによると、最も決定的な手がかりの一つは、感染端末から見つかった認証情報だった。その中には、Silent Pushがすでに自社の調査結果でマークしていたメールアドレス[email protected]が含まれていた。
同じメールアドレスは、Bybit窃盗のわずか数時間前に立ち上げられたドメインbybit-assessment.comの登録にも使われていた。このドメインは取引所を装い、攻撃の裏で動くインフラを支える役割を担っていた。
感染したシステムのユーザーが、窃盗そのものを直接実行した人物であったとは限らないものの、データからは、国家支援型オペレーションの異なるパート同士がどのように資産を共有しているかが浮かび上がる。開発用リグ、フィッシング用ドメイン、認証情報セット、通信インフラなどが、共通の手に渡りながら運用されているのだ。このマシンはその一つに過ぎなかったが、通常はVPNや偽名の背後に隠されている詳細を露呈させた。
侵害された端末のスペックと使用ツール
フォレンジックデータ自体が多くを物語っている。感染端末はハイエンド構成で、第12世代Intel Core i7プロセッサと16GBのRAMを搭載し、Visual Studio Professional 2019やEnigma Protectorといった開発ツールがインストールされていた。
Enigmaは、実行ファイルをパックしてアンチウイルス検知を回避するためによく使われるツールだ。これは地下室で試しにいじっているような人物ではない。本格的なマルウェアの作成やインフラ管理に使われていた、十分に整備されたリグである。
ブラウザ履歴やアプリケーションデータからも、さらなる情報が得られた。ユーザーはAstrill VPNを使って米国IP経由でトラフィックをルーティングしていたが、ブラウザ設定は簡体字中国語がデフォルトであり、翻訳履歴には韓国語に関する直接的なクエリが含まれていた。
さらに、Slack、Telegram、Dropbox、BeeBEEPなどもシステム上にインストールされており、内部コミュニケーションとコマンド&コントロール用途の両方を示唆している。特にDropboxのフォルダ構造からは、盗んだデータを後からアクセスするためにアップロードしていた形跡がうかがえた。
Astrill VPNと偽Zoomインストーラー
注目すべき点として、Hackread.comがサイバーセキュリティ研究者Mauro Eldritchの執筆による2025年11月の記事で報じたところによれば、西側のIT職に応募する求職者を装った北朝鮮の脅威アクターも、自らのIPアドレスを隠すためにAstrill VPNを使用していた。
このシステムからは、フィッシング攻撃の準備も明らかになった。callapp.usやcallservice.usといったドメインが購入され、さらにzoom.callapp.usのようなサブドメインが、偽のソフトウェアやアップデートをダウンロードさせるために利用されていた。偽ZoomインストーラーのローカルIPアドレスも、この同じリグに紐づいていた。
脅威アクターが自分たちの端末が侵害されていることに気づいていた形跡はない。そこが今回の事例を特異なものにしている。LummaC2のようなインフォスティーラーは、通常は攻撃者側が日常のユーザーからブラウザデータや認証情報、ウォレット情報を盗み取るために展開するものだ。
しかし今回の場合、マルウェアは逆効果となり、記録上最も組織的な暗号資産窃盗の一つを支えるインフラの一部を露呈させた。これにより、国家系脅威アクターがどのように環境を構築し、オペレーションを運用しているのかを、セキュリティ研究者が詳細に調べるまれな機会が生まれた。Hudson Rockは、侵害されたマシンを再現したシミュレーターまで構築しており、他の研究者がソフトウェアやブラウザ活動、盗まれたデータを自ら検証できるようにしている。
インフォスティーラーとしては初だが、ハッカー露出としては前例あり
北朝鮮のハッカーがインフォスティーラーに感染した事例が文書化されたのは今回が初めてかもしれないが、同国のオペレーターのシステムが侵害されたのは初めてではない。2025年8月には、あるハッカー集団が、北朝鮮の脅威アクターとされる人物のコンピュータから盗んだ9GB分のデータを公開している。
この流出では、内部ツール、ログ、機密文書、そして攻撃的なサイバー作戦に直接関与していると見られる人物のファイルが暴露された。このインシデントにより、北朝鮮のサイバー部隊内で活動する脅威アクターの日常的な作業環境を、極めて珍しく、かつ貴重な形で垣間見ることができた。
さらにさかのぼると、2020年7月には、イランのハッカーが関与する別のまれな侵害が大きなニュースとなった。IBMのX-Forceは、イランのオペレーターがリアルタイムでメールアカウントを乗っ取る様子を記録した40GB分のトレーニング動画のアーカイブを発見したのだ。
動画には、認証情報の窃取、アカウント乗っ取り、アクセス維持のテクニックなどが、ステップごとの手順として映し出されていた。映像の全容が一般公開されたかどうかは依然として不明だが、この資料の存在自体が、攻撃者の手口や内部トレーニングリソースを極めて近い距離から観察する機会を研究者にもたらした。
とはいえ、このレベルのオペレーションで今回のようなミスが起きることは滅多にない。だからこそ、一度こうした「窓」が開いたとき、それが開いたままでいる時間はごく短いのだ。
翻訳元: https://hackread.com/north-korean-hacker-device-lummac2-infostealer-bybit/
