Secureworks、北朝鮮と不正クラウドファンディングの関連を暴露

Secureworks Counter Threat Unit（CTU）の調査により、北朝鮮の偽IT労働者スキームと不正なクラウドファンディング活動との関連が明らかになった。

クラウドファンディング詐欺に関与したグループは、SecureworksによりNickel Tapestryと特定された。これは北朝鮮の利益のために運用される複数の活動クラスターで構成される脅威アクターである。 

この詐欺は約2万ドルを集めており、詐欺的なIT労働者の利用に先立って、北朝鮮の脅威アクターがさまざまな収益化スキームを試していた初期の例を示している。

Secureworks CTUの脅威インテリジェンス担当ディレクターであるRafe Pilling氏は次のようにコメントした。「過去12か月で、北朝鮮のIT労働者スキームはディープフェイクやAIを活用する形で進化しているのを確認してきました。Nickel Tapestryのような国家支援グループに対抗するには、彼らの手口がどのように変化しているかだけでなく、それがどこから始まったのかを理解することが極めて重要です。」

ドメイン名、フロント企業、メールアドレスの寄せ集めを通じて、CTUはNickel Tapestryを、Kratosという携帯型ワイヤレスメモリデバイスを宣伝していたIndieGoGoのクラウドファンディングキャンペーンページに結び付けることができた。

しかし、購入者のコメントから、このキャンペーンが詐欺であり、支援者は製品も返金も販売者から受け取っていないことが示された。

Secureworks CTUはブログ投稿で、「この2016年のキャンペーンは、本稿公開時点で活動している、より精巧な北朝鮮のIT労働者スキームと比べると、労力の少ない小規模な金銭的リターンの試みだった」と述べた。

クラウドファンディングとIT労働者キャンペーンのネットワークインフラの重複は、IndieGoGo詐欺の運営者とNickel Tapestry脅威グループとの関連を示していると、同サイバーセキュリティ企業は述べた。

Nickel Tapestryとクラウドファンディング詐欺を結び付ける

CTUの調査により、米国が2018年に制裁違反を認定した2つの情報技術企業が、2016年のクラウドファンディング詐欺と関連していたことが明らかになった。

その2社は、中国拠点のYanbian Silverstar Network Technology Co.と、ロシア拠点のVolasys Silver Starである。

2023年、FBIは2018年から2019年にかけてYanbian Silverstarのフリーランサーが使用していた複数のアカウントに、IPアドレス36 . 97 . 143 . 26 .からアクセスした。

このIPアドレスは、中国・吉林省にジオロケーションされた専用サーバーに解決され、Yanbian Silverstarの拠点があると考えられている場所である。

FBIの宣誓供述書は、北朝鮮のIT労働者が中国に居住し、Yanbian Silverstarで働いていたことを示す証拠を提示している。

Yanbian SilverstarおよびVolasys Silver StarのCEOである、Jong Song Hwaという名の北朝鮮国籍者も、FBIにより指定対象とされた。

2024年、2つのフロント企業に関連するドメイン（silverstarchina . com）が押収され、登録者のメールアドレス（jinmaolin0628 @ hotmail . com）が明らかになった。  

このメールアドレスは以前、WHOISのプライバシー保護の背後に隠されていた。登録者住所の通り名であるChang Bai Shan Dong Luは、報告されているYanbian Silverstarのオフィス所在地と一致する。

同じ登録者メールと住所は、他のいくつかのドメイン名の登録データにも記載されていた。

CTUの研究者は、それらのドメイン名のうちの1つ（kratosmemory . com）が、Kratos携帯型ワイヤレスメモリデバイスを宣伝していた2016年のIndieGoGoクラウドファンディングキャンペーンに関連していることを突き止めた。

2016年半ば頃、kratosmemory . comのWHOIS登録者情報は、Dan Mouldingという別の人物像を反映するよう更新された。

この人物名は、Kratos詐欺に関するIndieGoGoのユーザープロフィールと一致する。

CTUの研究者は、この人物像が他のドメインの登録者データに現れるのを確認していない。