ハッカー組織

AhnLab が発表した『2025年ネットワーク脅威トレンドと2026年セキュリティ展望』レポートによると、北朝鮮背景のハッカー組織 Lazarus が過去12ヶ月で最も多く言及されており、主に「標的型フィッシング」を利用して攻撃を実施し、講演会の招待や面接のリクエストなどのメールに偽装してターゲットを誘導しています。レポートでは、Lazarus が今年2月21日の Bybit のハッキング事件（損失14億ドル）や最近の韓国取引所 Upbit の3000万ドルの脆弱性攻撃など、複数の重大な攻撃の主要な容疑者と見なされていると述べています。AhnLab は、セキュリティを向上させるために、企業は定期的なセキュリティ監査、迅速なパッチ更新、従業員教育の強化を含む多層防御システムを構築する必要があると述べています。同社はまた、個人ユーザーに対して多要素認証の使用、未知のリンクや添付ファイルの慎重な取り扱い、個人情報の過度な露出の回避、公式チャネルからのみコンテンツをダウンロードすることを推奨しています。AhnLab は、AI アプリケーションの普及に伴い、攻撃者が識別が難しいフィッシングメール、偽装ページ、ディープフェイクコンテンツを生成しやすくなるため、今後関連する脅威がさらに複雑化する可能性があると指摘しています。（Cointelegraph）

韓国の仮想資産取引所 Upbit がハッカー攻撃を受け、445億ウォンの仮想資産が盗まれたと、韓国聯合ニュースが報じています。現在、北朝鮮の情報総局傘下のハッカー組織 Lazarus Group がこの事件の背後にいると強く疑われています。現地時間、韓国聯合ニュースは情報通信技術（ICT）業界および韓国政府の関連部門から、北朝鮮の情報総局に属するハッカー組織 Lazarus Group が大きな犯行の疑いがあるため、当局が Upbit に対して現場検査を行っていることを確認しました。このハッカー組織は、2019年に Upbit から580億ウォン相当のイーサリアムを盗んだ事件に関与したとされています。政府関係者は「今回の攻撃はサーバーを狙ったものではなく、管理者アカウントを盗まれたか、管理者になりすまして資金移動が行われた可能性が高い」と述べています。また、「現在把握している状況から判断すると、6年前のハッカーもこの方法で攻撃を実施したため、今回も同様の手口であると推測される」とも語っています。

安全研究者は、北朝鮮のハッカーグループKONNIが新しい攻撃手法を開発し、初めてGoogleのFind Hub資産追跡機能を利用してAndroidデバイスに対してリモートデータ消去攻撃を実施したことを発見しました。攻撃者は、心理カウンセラーや人権活動家に偽装し、韓国のKakaoTalk通信プラットフォームで「ストレス解消プログラム」と呼ばれるマルウェアを配布しました。被害者がこれらのファイルを実行すると、攻撃者はGoogleアカウントの資格情報を盗み、Find Hub機能を利用してデバイスの位置を追跡し、リモートリセットを実行し、個人データが削除される結果となります。今回の攻撃はKONNI APT活動の後続行動として確認されており、この組織は北朝鮮政府が支援するKimsukyやAPT 37と密接に関連しています。セキュリティ専門家は、ユーザーにアカウントのセキュリティを強化し、二要素認証を有効にし、インスタントメッセージングツールを通じて受信したファイルに注意を払うように勧めています。

国家計算機ウイルス緊急処理センターは、LuBianマイニングプールがハッカーによって攻撃され、大量のビットコインが盗まれた事件に関する技術的な追跡分析報告を発表しました。その中で、LuBianマイニングプールで重大なハッキング事件が発生し、合計127272.06953176枚のビットコイン（当時の時価約35億ドル、現在の時価は150億ドルに達しています）が攻撃者によって盗まれたことが指摘されています。この大量のビットコインの保有者は、カンボジアの王子グループの主席である陳志です。ハッキング事件発生後、攻撃者が制御するビットコインウォレットアドレスに保存されていたビットコインは、4年間沈黙を保ち、ほとんど動きがありませんでした。これは明らかに一般的なハッカーが利益を追求して急いで現金化する行動とは異なり、まるで「国家級ハッカー組織」によって操られた精密な行動のようです。2024年6月まで、この盗まれたビットコインは新しいビットコインウォレットアドレスに再び移されることはなく、現在も動いていません。2025年10月14日、アメリカ司法省は陳志に対して刑事告発を行い、陳志およびその王子グループの12.7万枚のビットコインを押収すると発表しました。さまざまな証拠は、アメリカ政府が押収した陳志およびその王子グループのこの大量のビットコインが、早くも2020年にハッカーによって技術的手段で盗まれたLuBianマイニングプールのビットコインであることを示しています。つまり、アメリカ政府は早くも2020年にハッカー技術を用いて陳志が保有する12.7万枚のビットコインを盗んだ可能性があり、これは典型的な国家級ハッカー組織による「黒吃黒」事件です。LuBianマイニングプールが2020年にハッキングされた事件は深刻な影響を及ぼし、マイニングプールは実質的に解散し、損失は当時の総資産の90%以上に達しましたが、盗まれたビットコインの現在の価値は150億ドルに上昇しており、価格変動によるリスクの拡大を浮き彫りにしています。

ChainCatcher のメッセージによると、Cryptopolitan が報じたところによれば、英国警察は Scattered Spider ハッカーグループに関連するティーンエイジャーを逮捕しました。このグループは、100 を超える組織から 1.15 億ドル以上の身代金を要求したとされています。逮捕された 19 歳の容疑者 Thalha Jubair は、約 120 件のネットワーク侵入事件に関与している疑いがあります。裁判所の文書によると、このグループは 2022 年 5 月から現在までに複数のランサムウェア攻撃を実施しており、そのうち 5 件の被害企業は約 8950 万ドルの身代金を支払いました。アメリカ連邦捜査局（FBI）は、Jubair が管理するサーバーのウォレットから 3600 万ドルのデジタル資産を押収したと述べています。調査によると、Jubair は身代金で購入したゲームギフトカードや出前のために足がついたとされています。このグループは以前、SIM カードの盗用やソーシャルエンジニアリング攻撃の手段を用いて犯罪を行い、アメリカ連邦裁判所システムを含む複数の重要機関が被害を受けました。

ChainCatcher のメッセージ、EurekaTrading の創設者 Kuan Sun がツイートでフィッシング攻撃によって 1,300 万ドルを失いかけたことを振り返る：2025 年 9 月 2 日、彼のウォレットに約 1,300 万ドルの資産が Lazarus ハッカーグループに盗まれそうになり、セキュリティチームが緊急対応し、最終的に資金を回収した。発端は一見正常な Zoom 会議の招待で、実際には巧妙に仕掛けられたフィッシングトラップだった。ハッカーは「半熟人」の関係、ディープフェイク動画、偽の Rabby プラグインを利用して、被害者の Venus ポジションに特化した攻撃を行った。偽のプラグインを信じて withdraw を実行したことで、資産が連帯責任で移動されるリスクにさらされた。PeckShield、SlowMist、Venus および複数のセキュリティチームが迅速に対応し、プロトコルを一時停止しリスクを調査し、最終的に資金の盗難を防いだ。ハードウェアウォレットは万能ではなく、プラグインやフロントエンドがハイジャックされるリスクは依然として存在する；Zoom リンク、アップグレードポップアップ、半熟人の関係はすべて攻撃の入り口となる可能性がある。

ChainCatcher のメッセージ、SlowMist の余弦がソーシャルメディアで発表したところによると、Venus の大口ユーザー Kuan Sun（@KuanSun1990）のフィッシング事件は完結を迎え、このユーザーはほぼ全ての損失を取り戻しました。関連するハッカー組織はそのために約 300 万ドルの攻撃コストを支払いました。

ChainCatcher のメッセージ、SlowMist の最高情報セキュリティ責任者 23pds がツイートしました。「疑わしい北朝鮮のハッカー組織 Kimsuky APT のメンバーが重大なデータ漏洩に遭遇し、数百 GB の内部ファイルとツールが漏洩しました。侵入はおそらく 2025 年 6 月初旬に発生し、この組織の複雑なバックドア、フィッシングフレームワーク、偵察活動が暴露されました。漏洩したファイルの分析によると、内部のダンプは『KIM』という偽名を持つ Kimsuky オペレーターの 2 つの侵害されたシステムに由来しています。1 つは Deepin 20.9 を実行している Linux 開発ワークステーションであり、もう 1 つはフィッシング攻撃のためのパブリック VPS です。」

ChainCatcher のメッセージによると、イスラエルに関連するハッカー組織 Gonjeshke Darande が、イラン最大の暗号通貨取引所 Nobitex の全ソースコードを公開したと発表しました。関連資産情報は完全に暴露されています。この組織は、Nobitex に残っているユーザー資産が非常に高いリスクにさらされていると警告し、ソーシャルプラットフォームで Nobitex の内部システムの詳細を示しました。

ChainCatcher のメッセージによると、CoinDesk が報じたところによれば、ブロックチェーンセキュリティ会社 Elliptic は、イスラエルに関連するハッカー組織 Gonjeshke Darande がイランの暗号通貨取引所 Nobitex に対して行った攻撃が 9000 万ドルの損失を引き起こしたのは経済的動機によるものではなく、関連資金は Vanity Address に送信され、実質的にトークンが消去されたと述べています。以前のニュースでは、ハッカー組織 "Gonjeshke Darande"（ペルシャ語で「凶暴なスズメ」を意味する）がイランの暗号通貨取引所 Nobitex に対してサイバー攻撃を行ったと発表し、24 時間以内にその取引所のソースコードと内部ネットワーク情報を公開すると警告しました。

ChainCatcher のメッセージ、ハッカー組織 Gonjeshke Darande（ペルシャ語で「凶猛なスズメ」を意味する）がイランの暗号通貨取引所 Nobitex に対してサイバー攻撃を行ったと発表し、24 時間以内にその取引所のソースコードと内部ネットワーク情報を公開する警告を発しました。この組織は Nobitex をイラン政権が国際制裁を回避し、テロ活動を資金提供するための核心的なツールであると非難し、さらにはそのインフラを利用して制裁を回避する方法をユーザーに公開するよう指導しています。ハッカー組織はまた、Nobitex での勤務がイラン政府によって有効な軍事サービスと見なされていると主張し、その取引所がイラン政権にとって重要であることを浮き彫りにしています。以前、このハッカー組織はイラン革命防衛隊の「セパ銀行」（Bank Sepah）に対して攻撃を行ったことがあります。ハッカーは Nobitex のユーザーに対し、早急に資産を引き出すよう警告し、「この時点以降にプラットフォームに残っている資産はリスクにさらされる」と述べています。以前の報道によれば、イランの暗号取引所 Nobitex はハッカー攻撃を受け、4865 万ドルの損失を出した疑いがあります。

ChainCatcher のメッセージによると、ハッカー組織 Librarian Ghouls（別名 Rare Werewolf）が数百台のロシアのデバイスに侵入し、それらを利用して暗号通貨のマイニングを行っています。この組織は、合法的な組織を装ったフィッシングメールを通じてマルウェアを拡散し、デバイスに感染した後、リモート接続を確立し、Windows Defenderなどのセキュリティシステムを無効にします。ハッカーはデバイスの RAM、CPU コア、GPU 情報を収集し、暗号通貨マイニングプログラムの設定を最適化します。このハッカー事件は 2023 年 12 月に始まり、攻撃活動は主にロシアの工業企業や工学学校に影響を与え、ベラルーシやカザフスタンにも被害者がいます。カスペルスキーは、Librarian Ghouls がハッカー活動家である可能性があると推測しています。なぜなら、彼らは独自のマルウェアを開発するのではなく、合法的な第三者ツールに依存しているからであり、これは類似の組織がよく使用する技術です。

ChainCatcher のメッセージ、セキュリティ会社 Wiz は、コードネーム JINX-0132 のハッカー組織が DevOps ツールの設定の脆弱性を大規模に利用して暗号通貨マイニング攻撃を行っていることを発見しました。この攻撃は主に HashiCorp Nomad/Consul、Docker API、Gitea などのツールを対象としており、約 25% のクラウド環境がリスクにさらされています。攻撃手法には以下が含まれます：Nomad のデフォルト設定を利用して XMRig マイニングソフトウェアをデプロイすること、Consul の未承認 API を通じて悪意のあるスクリプトを実行すること、露出した Docker API を制御してマイニングコンテナを作成すること。

ChainCatcher のメッセージによると、Finance Feeds が報じたところによれば、北朝鮮のハッカー組織 Lazarus Group は最近、攻撃対象を個人投資家にシフトし、5 月 24 日に悪意のあるソフトウェアを通じてある商人から 520 万ドル以上を盗みました。盗まれた資金は、取引所のウォレット、マルチシグウォレット、外部アカウントなど、複数のウォレットタイプに関与しています。ブロックチェーンアナリストの ZackXBT は、ハッカーがミキサー Tornado Cash を通じて約 1000 ETH を移転したことを追跡しました。セキュリティ専門家は、個人投資家に対して防護措置を講じることを推奨しています：ハードウェアウォレットを使用して大額の資産を保管する、二要素認証を有効にする、定期的にソフトウェアのパッチを更新する、疑わしいリンクに注意する、定期的に取引記録を確認する。この攻撃は、同組織が機関を対象とする戦略から個人投資家にシフトしたことを示しています。

ChainCatcher のメッセージによると、Bitcoin.com News が報じたところによれば、北朝鮮のハッカーグループ Lazarus Group は Bybit を攻撃した後、一部の盗難資産をビットコインに換金し始めた。データによると、このグループは現在 13562 BTC を保有しており、価値は約 11.4 億ドルである。これにより、北朝鮮のビットコイン保有量は増加し続けており、現在はエルサルバドル（6117 BTC）やブータン（10635 BTC）を超え、世界でビットコインを最も保有する政府機関の中で第3位となっている。アメリカ（198109 BTC）とイギリス（61245 BTC）に次ぐ。

ChainCatcher のメッセージによると、Decrypt の報道では、Socket 研究チームが新たな攻撃の中で、北朝鮮のハッカー組織 Lazarus が6つの新しい悪意のある npm ソフトウェアパッケージに関連していることを発見しました。これらのパッケージは、ユーザーの認証情報を盗むためのバックドアを展開しようとしています。さらに、これらのマルウェアは暗号通貨データを抽出し、Solana および Exodus 暗号ウォレット内の敏感な情報を盗むことができます。攻撃は主に Google Chrome、Brave、Firefox ブラウザのファイルおよび macOS のキーチェーンデータを対象としており、開発者が意図せずにこれらの悪意のあるパッケージをインストールするように仕向けています。今回発見された6つの悪意のあるソフトウェアパッケージは、is-buffer-validator、yoojae-validator、event-handle-package、array-empty-validator、react-event-dependency、auth-validator です。これらは「typosquatting」（スペルミスの名前を利用すること）を通じて開発者を騙してインストールさせます。APT 組織はそのうちの5つのパッケージのために GitHub リポジトリを作成し、合法的なオープンソースプロジェクトに偽装して、悪意のあるコードが開発者によって使用されるリスクを高めています。これらのパッケージは330回以上ダウンロードされています。現在、Socket チームはこれらのパッケージの削除を要求し、関連する GitHub リポジトリおよびユーザーアカウントを報告しました。Lazarus は悪名高い北朝鮮のハッカー組織であり、最近の14億ドルの Bybit ハッキング、4100万ドルの Stake ハッキング、2700万ドルの CoinEx ハッキング、そして暗号業界における無数の他の攻撃に関連しています。

ChainCatcher のメッセージによると、ロシアが支援するハッカー組織「Dark Storm」が、最近 X プラットフォームで発生した大規模なダウンを引き起こした分散型サービス拒否（DDoS）攻撃に責任があると主張しています。ネットワークセキュリティ組織 SpyoSecure が 3 月 10 日に X プラットフォームで発表した情報によれば、Dark Storm はその Telegram チャンネルでこの攻撃を実施したと主張しています。このチャンネルはその後、プラットフォームのサービス利用規約に違反したため削除されました。ソーシャルメディアの人物 Ed Krassenstein も、Dark Storm のリーダーと連絡を取り、相手がこの主張を確認し、今回の攻撃は力を示すことを目的としており、政治的動機はないと述べたと報告しています。X プラットフォームの所有者であるイーロン・マスクは、3 月 10 日にプラットフォームがサイバー攻撃を受け、一部のユーザーがアクセスできなくなったが、ユーザー機能はすぐに回復したと確認しました。彼はフォックスビジネスチャンネルのインタビューで、攻撃がウクライナ地域の IP アドレスから発信されたと述べました。さらに、テスラの最近の株価下落は、マスクが主導する政府効率部（DOGE）の支出削減に対する抗議活動に関連している可能性があります。

ChainCatcher のメッセージによると、Safe は Mandiant（現在は Google Cloud に所属）との共同で行ったセキュリティ調査が重要な進展を遂げ、2 月 21 日の Bybit の盗難事件が北朝鮮のハッカー組織 TraderTraitor によるものであることを確認しました。この組織は以前にも暗号業界に対して攻撃を行ってきました。攻撃者は Safe{Wallet} の開発者のノートパソコンに侵入し、AWS セッショントークンをハイジャックして多要素認証の制御を回避しました。この開発者は、その職務を遂行するために高い権限を持つ数少ない人物の一人です。Safe は Web3 エコシステムに対して、ますます複雑化するセキュリティ脅威に共同で対処し、ユーザーの安全性を向上させるために取引検証ツールの最適化を強化するよう呼びかけています。公式は詳細な取引検証ガイドを発表し、潜在的なリスクを低減するためにユーザー体験のさらなる最適化を計画しています。

ChainCatcher のメッセージによると、Decrypt の報道では、ハッカー組織 Crazy Evil が「ChainSeeker.io」という偽の Web3 会社を設立し、暗号業界の求職者を騙して財布の資金を盗むマルウェアをダウンロードさせたとのことです。ネットセキュリティサイト Bleeping Computer によれば、この組織は LinkedIn と X にプロフィールを作成し、「ブロックチェーンアナリスト」や「ソーシャルメディアマネージャー」などの標準的な暗号業界の職を募集しています。彼らはまた、LinkedIn、WellFound、CryptoJobsList などのサイトに高品質な広告を掲載し、広告の露出を高めています。その後、求職者はこの偽の会社の「最高人事責任者」からのメールを受け取り、偽の「最高マーケティング責任者」（CMO）に Telegram で連絡するよう招待されます。いわゆる CMO は、その後、彼らに GrassCall という仮想会議ソフトウェアをダウンロードしてインストールし、CMO が提供するコードを入力するよう促します。すると、GrassCall はさまざまな情報窃取マルウェアやリモートアクセス型トロイの木馬（RAT）をインストールし、これらのマルウェアは暗号財布、パスワード、Apple Keychain データ、ブラウザに保存された認証クッキーを検索します。現在、ほとんどの広告はソーシャルメディアから削除されているようです。