BCA LTD、NorthScan、ANY.RUN による共同調査は、リアルタイムで、北朝鮮でも最も秘匿性の高いサイバー作戦の一つを明らかにした。調査チームは、ごく普通の採用プロセスを装い、ラザルス・グループ、特にそのサブユニットである Famous Chollima のオペレーターたちが、なりすましの身元を用いてリモートの IT 従業員として世界中の企業に入り込んでいる実態を追跡することに成功した。
この作戦は、BCA LTD の創業者である Mauro Eldritch によって開始され、NorthScan イニシアチブおよびインタラクティブなマルウェア解析プラットフォーム ANY.RUN と連携して進められた。NorthScan のスペシャリストたちは架空の米国人開発者を作り上げ、その人物になり代わって Heiner Garcia が、Aaron “Blaze” と名乗るラザルスのリクルーターと対話を開始した。Blaze は雇用仲介業者を装い、金融、暗号資産、ヘルスケア、エンジニアリング分野の企業を標的に、北朝鮮の IT 労働者の隠れ蓑として、この架空の候補者を採用させようと試みた。
この手口は、身元のすり替えとリモートアクセスに全面的に依存している。盗まれた身分証明書やオンラインプロフィールが選別・流用され、面接は AI サービスと事前に用意された回答集を使って行われる。
採用が決まると、実在する人物のノート PC を通じて業務が行われ、給与は最終的に北朝鮮(DPRK)へ送金される。リクルーターが、社会保障番号、身分証のコピー、LinkedIn と Gmail へのアクセス、そして 24 時間デバイスへ接続できる権限など、個人情報一式の提出を要求した時点で、調査は本格的なアクティブフェーズへと移行した。
物理的なノート PC の代わりに、Mauro Eldritch は ANY.RUN 上に複数の仮想マシンを展開し、利用履歴やインストール済みツールチェーンを備え、米国の住宅用プロキシ経由でトラフィックを流すことで、開発者の私用ワークステーションを模倣した。これにより、オペレーター側には正規のマシンであるかのような錯覚を与えつつ、そのあらゆる操作を完全に監視・制御できる環境が構築された。チームは、障害を意図的に発生させたり、接続を絞ったり、システムスナップショットを取得したりしながらも、監視の存在を一切悟らせなかった。
セッションの観察から、焦点は高度なマルウェアではなく、アカウント乗っ取りと継続的なアクセス確保にあることが判明した。Chrome プロファイルの同期後、オペレーターたちは Simplify Copilot、AiApply、Final Round AI など、大量の求人応募や面接準備を自動化する各種ツールを起動した。
二要素認証の回避には、OTP.ee や Authenticator.cc といったブラウザベースのワンタイムコード生成サービスが利用された。リモート操作は Google Remote Desktop を通じて確立され、PowerShell を用いて恒久的な PIN が設定された。標準的な偵察には、dxdiag、systeminfo、whoami といったユーティリティが使用された。
すべてのトラフィックは、過去にラザルスのインフラと関連付けられた Astrill VPN サービスを経由していた。あるセッションでは、オペレーターがメモ帳に、身分証明書、社会保障番号、銀行情報のアップロードを求めるメモを残しており、別個のマルウェアを展開することなく、アカウントと作業環境を完全に掌握することこそが目的であることを明確に裏付けていた。
この事例は、リモート採用が、身元情報を悪用した侵入にとっていかに都合のよい経路となっているかを浮き彫りにしている。攻撃の試みは、多くの場合もっともらしい求人オファーから始まり、やがてデバイスへのアクセスや企業システムの認証情報の要求へとエスカレートしていく。一度「従業員」として組織内部に入り込めば、ダッシュボード、機密情報、経営層アカウントなどへのアクセスを得て、重大なオペレーションリスクを生み出す。
人事部門と IT 部門の迅速な連携、厳格な候補者の身元確認プロセス、不審な要求について安全に相談できる体制があれば、こうした手口は最初の接触段階で食い止めることができる。
