- 元のLabyrinth Chollimaは、軍事・政府・核分野に対するスパイ活動を継続
- Golden Chollimaは、世界中のフィンテック企業を標的に暗号資産を窃取
- Pressure Chollimaは中央集権型取引所を攻撃し、記録破りの暗号資産強奪の背後に
北朝鮮の国家支援型脅威アクターの中でも最大級かつ最も成功している集団の一つが、3つの別個の組織に分裂し、それぞれが独自の戦術、マルウェアツール、標的、目的を持つようになったと、専門家が警告している。
最近の詳細な分析で、CrowdStrikeの研究者は、この動きはLabyrinth Chollimaのサイバー攻撃をより効率化するための戦略的な進化であり、新たに形成されたチームは今後も協力して活動を続けると説明した。
「LABYRINTH CHOLLIMAが専門化した作戦ユニットへと分割されたことは、複数の目的を同時に追求するDPRK政権の能力を高める戦略的進化を示している」と研究者は説明した。
偽の求人と偽の従業員
この3つのグループは現在、Labyrinth Chollima、Golden Chollima、Pressure Chollimaとして追跡されている。
「OG(元祖)」のLabyrinth Chollimaは主にサイバースパイ活動と情報収集を担っている。標的には軍事・防衛、政府、物流、核関連組織が含まれ、主に米国、欧州、韓国に所在する。
Golden Chollimaは、暗号資産の窃取を目的として、米国、カナダ、韓国、インド、西欧の小規模フィンテック企業に注力する。
Pressure Chollimaも同様の任務(暗号資産の窃取)を担うが、Golden Chollimaの仲間とは異なり、中央集権型取引所と西側のテクノロジー企業に焦点を当てている。
「PRESSURE CHOLLIMAは、記録上最大の2件の暗号資産窃取を含む、DPRKで最も注目度の高い暗号資産強奪を実行した」とCrowdStrikeは述べた。「公的な報告では、再利用された暗号資産ウォレットに基づき、5,200万米ドルから1億2,000万米ドルに及ぶ追加の高額窃取がPRESSURE CHOLLIMAと関連付けられている。」
北朝鮮のハッカーは暗号資産企業を標的にし、盗んだトークンを国家機構や核兵器計画の資金に充てることで知られている。CrowdStrikeは目的は変わっていないとみており、ロシアとの貿易関係が改善しているにもかかわらず、北朝鮮は依然として「新型駆逐艦の建造、原子力潜水艦の建造、追加の偵察衛星の打ち上げを含む野心的な軍事計画に資金を投じるため、さらなる収入を必要としている」としている。
これらのグループは、悪名高いLazarus Groupとともに、LinkedIn上で偽の求人を作成したり、偽の求職者を用意したりして、テック企業や専門職を標的にし、バックドアや情報窃取型マルウェアをインストールすることが多い。
