2026年2月21日は、北朝鮮(DPRK)のハッカーがドバイを拠点とする取引所Bybitから約14億6000万ドルの暗号資産を盗み出した記録上最大の暗号盗難から1年を迎えた日である。
Ellipticが最初にこの攻撃をDPRKアクターに帰属させ、その後FBIが確認した。このグループは払い戻しアドレスの使用、無価値なトークン、複数のミキシングサービスへの分散など、革新的な資金洗浄戦術を採用した。
2025年8月までに10億ドル以上が資金洗浄され、その多くが疑わしい中国のOTCサービスを通じて行われた。現在、ほとんどの資金は処理されたが、Bybitハッキングは、DPRKの暗号盗難作戦の終わりではなく、エスカレーションを示すものだった。
DPRKハッカーは2025年を通じて記録的な20億ドルの暗号資産を盗み出し、累積総額は60億ドルを超えた。アナリストは、これらの資金が北朝鮮の核ミサイルプログラムの資金であると考えている。
2026年に活動が加速し、Ellipticは1月に前年比で2倍のエクスプロイトを記録した。
これらのインシデント全体では、その後の技術的なエクスプロイトにもかかわらず、ソーシャルエンジニアリングが主要な攻撃ベクトルである。オペレーターは、言語の壁を克服し、欺瞞を改善するため、AI技術によって強化された可能性が高い、説得力のあるペルソナと前置きを作成する。
DangerousPasswordとContagious Interviewの2つの進行中のキャンペーンは、2026年1月1日以来、3750万ドルの収益を上げている。
DangerousPasswordは、侵害されたソーシャルメディアアカウントをハイジャックしてターゲットに連絡し、過去のカンファレンスなど共通の接続を引用することが多い。
被害者はZoomまたはMicrosoft Teamsのビデオ通話に参加し、偽の音声エラーがマルウェアをインストールするコマンドラインコードを実行するよう促される。このマルウェアは秘密鍵、シードフレーズ、パスワードを探し、さらなるアカウント乗っ取りを可能にする。
Contagious Interviewは架空の求人を作成し、信頼できるプラットフォーム上のマルウェアが仕込まれたコードリポジトリを通じてターゲットを「技術テスト」に誘い込む。実行時に同様のキー盗難ツールを展開する。
両キャンペーンとも、被害者が会社支給のデバイスを使用する場合、組織の侵害のリスクがある。これら以外に、DPRKのIT労働者は忍耐強く暗号プロジェクトに潜入する。彼らは偽のアイデンティティ、クローンアカウント、位置偽装用のレンタルノートパソコン、さらには共謀者への言及を使用する。
給与は直接的な収益を提供するが、本当の目的はしばしば、リモートファースト環境でのバックドア、永続的なアクセス、または開発者マシンの侵害を伴う。
Tenexiumインシデントはこの進化を強調している。2026年1月1日、Bittensor(TAO)エコシステムの自称分散マージン取引プロトコルであるTenexium.ioは、財務から250万ドルの流動性流出の最中にオフラインになった。
2025年9月に登録されたこのプロジェクトは、12月31日以降活動がない。レポートはDPRK関連の貢献者にフラグを立て、ブロックチェーン分析は既知のDPRKエクスプロイトと一致する資金洗浄パターンを明らかにしました。これには、クロスチェーンオーバーラップと集中型キャッシュアウトが含まれます。
創設当初からのDPRKフロントとして完全には証明されていませんが、証拠はオペレーターが現在、資金を吸い上げるための偽のプロジェクトを構築している可能性があり、潜入から作成へシフトしていることを示唆しています。
この継続的なキャンペーンは警戒を必要とする。DPRKの戦術はより洗練されつつあり、AI強化フィッシング、マルウェア、内部脅威を混合している。
暗号企業は、不要な呼び出しやレポテストなどのソーシャルエンジニアリングの赤旗をスクリーニングし、リモート採用を厳格に審査し、60以上のチェーンでブロックチェーン分析を使用して汚れた資金をトレースする必要があります。資金洗浄の可視化のためのInvestigatorを含むEllipticのツールは、DPRK関連の資産をブロックするのに役立ちます。
翻訳元: https://cyberpress.org/dprk-hackers-target-crypto/