北朝鮮

朝鮮に関連するハッカー組織は、暗号業界の関係者に対する攻撃手法を継続的に強化しており、AI生成のディープフェイクビデオ通話を通じて、被害者が知っているか信頼している人物になりすまし、悪意のあるソフトウェアをインストールさせるよう誘導しています。BTC Pragueの共同創設者であるMartin Kuchařは、攻撃者が侵害されたTelegramアカウントを利用してビデオ通話を開始し、「Zoomの音声問題を修正する」という理由で、被害者に偽装されたプラグインをインストールさせることで、デバイスの完全な制御権を取得することを明らかにしました。セキュリティ研究機関Huntressは、この攻撃パターンが以前に明らかにされた暗号開発者に対する行動と高度に一致していることを指摘しており、悪意のあるスクリプトはmacOSデバイス上で多段階感染を実行し、バックドアを植え付け、キーボード入力を記録し、クリップボードの内容や暗号ウォレットの資産を盗むことができます。研究者たちは、この一連の攻撃が北朝鮮国家支援のハッカー組織Lazarus Group（別名BlueNoroff）に起因することを高く確信しています。ブロックチェーンセキュリティ会社SlowMistの情報セキュリティ責任者は、この種の攻撃には異なる行動において明らかな再利用の特徴があり、特定のウォレットや暗号関係者をターゲットにしていると述べています。分析によれば、ディープフェイクと音声クローン技術の普及に伴い、画像やビデオは身元の信頼性の確かな根拠としては難しくなっており、暗号業界は警戒を強化し、多重検証とセキュリティ対策を強化する必要があります。

据市场消息，安全公司 Recorded Future 最新研究显示，朝鲜关联黑客组织 PurpleBravo 通过虚假招聘面试，针对人工智能、加密货币及金融服务公司的 3100 多个 IP 地址发起网络间谍活动。该组织伪装成招聘人员或开发者，以技术面试为由诱使目标执行恶意代码。攻击者自称来自加密或科技公司，要求求职者审查代码、克隆存储库或完成编程任务。安全研究人员已识别出来自南亚、北美等地区的 20 家受害机构。该组织使用多个别名，并利用虚假的乌克兰敖德萨身份进行伪装。攻击中使用了 PylangGhost 和 GolangGhost 等远程访问木马，可自动窃取浏览器凭证与 Cookies。黑客还通过恶意 GitHub 仓库、Astrill VPN 以及 17 个服务提供商托管其恶意软件服务器。此外，调查发现相关 Telegram 频道在售卖 LinkedIn 和 Upwork 账号，攻击者亦曾与加密货币交易平台 MEXC Exchange 互动。

据 DL News 引援韩媒 Dailian 报道，韩国最高法院维持对一名加密货币交易所员工判处四年有期徒刑的判决，因其协助朝鲜黑客招募一名韩国陆军上尉，企图以比特币换取军事机密。涉案交易所员工从朝鲜黑客处获得 48.7 万美元比特币作为报酬，并向上尉支付 3.35 万美元比特币作为酬金。法院认定该员工违反《国家安全法》，其行为可能危及国家安全。涉事上尉此前因违反《军事机密保护法》已被判处十年监禁并处罚金。调查显示，朝鲜黑客指使该员工向涉事上尉提供"手表形状的隐藏摄像头"及用于植入军事笔记本电脑的 USB 黑客设备，企图远程访问韩美联合指挥控制系统，但未能成功。涉事上尉此前因违反《军事机密保护法》已被判处十年监禁并处罚金。

韓国最高裁判所は、ある暗号通貨取引所の従業員が北朝鮮から提供されたビットコイン資金を受け取り、韓国の軍官に軍事機密を売却させる計画を立てたとして、4年の実刑判決を下し、4年間金融関連業界に従事することを禁止しました。裁判所は、北朝鮮のハッカーがこの取引所の従業員に約48.7万ドルのビットコインを支払い、韓国の現役軍官を「リクルート」するために使用したことを明らかにしました。関与した陸軍大尉は約3.35万ドルのビットコインを受け取っていました。裁判官は、被告が行為が敵対国に関与していることを知っており、その行為が国家安全を脅かす可能性があること、そして個人的な経済的利益の動機から行動していたことを指摘しました。この大尉は以前に「軍事機密保護法」に違反したとして10年の懲役と3.5万ドルの罰金を科されており、取引所の従業員は「国家安全法」に違反して有罪判決を受けました。事件の詳細が明らかになり、関与した者たちはTelegramのチャットルームを通じて軍官に接触し、腕時計に偽装した隠しカメラやUSB侵入デバイスを提供し、韓米共同指揮統制システムのログイン情報を盗もうと試みていたことが分かりました。

据 The Block 报道，Chainalysis の報告によると、北朝鮮のハッカーは 2025 年に記録的な暗号通貨の金額を盗み、累計で 21.7 億ドルを超え、その中には Bybit プラットフォームから盗まれた近 15 億ドルのイーサリアムが含まれており、これは歴史上最大の単一暗号通貨ハッキング事件です。さらに、北朝鮮のハッカーは最近、韓国の取引所 Upbit に対して 3700 万ドルの攻撃を実施したとされています。国際制裁に直面しているにもかかわらず、北朝鮮のサイバー攻撃は依然としてエスカレートしており、Lazarus のようなハッカー組織は、世界のブロックチェーンと暗号通貨分野の脆弱性を利用するために戦略を絶えず最適化しています。Chainalysis の国家安全保障情報責任者 Andrew Fierman は、制裁だけでは不十分であり、北朝鮮のますます複雑化するハッキングとマネーロンダリングのエコシステムに対抗するためには、業界全体の協調行動が必要であると指摘しています。この政権は、主要な収入源として暗号ハッキング攻撃に依存し続けると予想されています。

Chainalysis が木曜日に発表した報告書によると、北朝鮮の暗号通貨ハッキング活動は 2025 年に 202 億ドルを盗み出し、再び記録を更新しました。これまで、北朝鮮がハッキングや盗難（ビットコインやイーサリアムなど）を通じて盗んだ暗号通貨の最高額は 130 億ドルでした。これにより、北朝鮮が累計で盗んだ暗号通貨の総額は約 675 億ドルに達しました。世界で盗まれた暗号通貨の総額は 340 億ドルに上昇しました。その大部分は、今年のドバイの暗号通貨取引所 Bybit に対する攻撃に起因しています。Bybit の CEO は、アメリカの秘密サービスによると、これらの北朝鮮のエリート政府ハッカーグループに属するハッカーが 2 月に約 150 億ドルを盗み、その大部分はイーサリアムであると述べています。国連や民間の研究者は長年にわたり、国際制裁を受け、少数の国としか関係を持たない北朝鮮が、核兵器やミサイル計画の資金を調達するために暗号通貨を盗むハッカーを展開していると非難しています。Chainalysis は、犯罪者がマネーロンダリングを行った盗まれた資金を追跡するなど、暗号通貨取引ネットワークの地図を描く企業の一つです。Chainalysis の報告書は、これらのプラットフォームが機関リソースと専門のセキュリティチームを持っているにもかかわらず、この根本的なセキュリティの課題により、依然として攻撃を受けやすいと指摘しています。戦略国際問題研究所の戦略技術プロジェクトディレクターである Matt Pearl は、北朝鮮が大部分で世界から隔絶されており、「ならず者国家」であるため、その行動を阻止することは困難であると述べています。報告書によると、一部の盗難は、北朝鮮のハッカーが国際企業で遠隔技術職を得るために詐欺手段をますます利用していることが原因である可能性が高いとされています。このアクセス権により、彼らはハッカー仲間に暗号通貨の鍵を盗む機会を提供し、暗号通貨を平壌に移転することができます。Pearl は、北朝鮮がすでに極度の制裁を受けていることを考えると、デジタル資産への攻撃を通じて軍事行動を資金調達するのを阻止する他の方法はほとんどないと述べています。

ネットセキュリティの非営利団体 Security Alliance は、現在、北朝鮮のハッカーによる詐欺の試みが毎日複数発見されていると警告しています。これらの攻撃は、偽の Zoom 会議を通じて被害者を誘い込むものです。この詐欺手法は、「偽の Zoom 通話」において被害者にマルウェアをダウンロードさせ、パスワードや秘密鍵を含む敏感な情報を盗み取るものです。セキュリティ研究者の Taylor Monahan は、この戦術がユーザーから 3 億ドル以上の資産を奪っていると警告しています。詐欺は通常、Telegram アカウントから送信されたメッセージから始まります。このアカウントはしばしば被害者の「知人」に属しています。知人の身分のため、被害者は警戒心を緩めます。その後、会話は自然に「Zoom で昔話をする」招待に移行します。通話が始まると、ハッカーは音声の問題が発生したふりをし、「パッチファイル」と称するものを送信します。被害者がそのファイルを開くと、デバイスにマルウェアが植え付けられます。その後、ハッカーは「また今度」と言ってこの偽の通話を終了します。

据 Decrypt 报道，マサチューセッツ州の40歳の男性Minh Phuong Ngoc Vongは、北朝鮮の工作員がアメリカのテクノロジー企業に秘密裏に潜入するのを助けたとして、15ヶ月の懲役と3年間の保護観察を言い渡されました。2021年から2024年の間に、Vongは偽の身分証明書を使って少なくとも13社のアメリカ企業でソフトウェア開発の職を得て、これらの企業から97万ドル以上の給与を受け取っていましたが、実際の仕事は中国にいる北朝鮮の工作員によってリモートで行われていました。一部の企業は、Vongのサービスをアメリカ政府機関、連邦航空局（FAA）に外注しており、その結果、これらの工作員は敏感な政府システムへの無許可アクセスを得ることになりました。

据 Hackread.com 报道，网络安全公司 Hudson Rock 在分析一份 LummaC2 信息窃取恶意软件日志时，发现了一台被感染的设备，其操作者疑似为朝鲜国家支持的黑客组织中的恶意软件开发者。该设备曾被用于搭建支持 2025 年 2 月加密货币交易所 Bybit 价值 14 亿美元盗窃案的基础设施。分析表明，该设备上发现的凭据与攻击前注册的、用于仿冒 Bybit 的域名存在关联。设备本身配置高端，安装了 Visual Studio、Enigma Protector 等开发工具，以及 Astrill VPN、Slack、Telegram 等通信和数据存储类应用。其活动痕迹还显示，攻击者为实施钓鱼攻击，购买了相关域名并准备了虚假 Zoom 安装程序。这一发现罕见地揭示了朝鲜支持的黑客行动中资产共享的内部运作细节。

AhnLab が発表した『2025年ネットワーク脅威トレンドと2026年セキュリティ展望』レポートによると、北朝鮮背景のハッカー組織 Lazarus が過去12ヶ月で最も多く言及されており、主に「標的型フィッシング」を利用して攻撃を実施し、講演会の招待や面接のリクエストなどのメールに偽装してターゲットを誘導しています。レポートでは、Lazarus が今年2月21日の Bybit のハッキング事件（損失14億ドル）や最近の韓国取引所 Upbit の3000万ドルの脆弱性攻撃など、複数の重大な攻撃の主要な容疑者と見なされていると述べています。AhnLab は、セキュリティを向上させるために、企業は定期的なセキュリティ監査、迅速なパッチ更新、従業員教育の強化を含む多層防御システムを構築する必要があると述べています。同社はまた、個人ユーザーに対して多要素認証の使用、未知のリンクや添付ファイルの慎重な取り扱い、個人情報の過度な露出の回避、公式チャネルからのみコンテンツをダウンロードすることを推奨しています。AhnLab は、AI アプリケーションの普及に伴い、攻撃者が識別が難しいフィッシングメール、偽装ページ、ディープフェイクコンテンツを生成しやすくなるため、今後関連する脅威がさらに複雑化する可能性があると指摘しています。（Cointelegraph）

Upbitで約445億ウォン（約3600万ドル）の暗号資産が盗まれた件についてCryptoQuantのCEO、Ki Young Juは本日、Upbitが公表した攻撃方法は「ほぼ普通のハッカーには実行不可能」と指摘しました。Upbitは以前、攻撃者がユーザーのウォレットアドレスのパターンを分析することで「秘密鍵を推測」した可能性があると述べました。Ki Young Juは、この種の攻撃技術の難易度が非常に高いと明言し、もし事実であれば「北朝鮮のLazarusを除いて、他のハッカー組織がこれを実行できるとは疑っています」と述べました。

韓国の仮想資産取引所 Upbit がハッカー攻撃を受け、445億ウォンの仮想資産が盗まれたと、韓国聯合ニュースが報じています。現在、北朝鮮の情報総局傘下のハッカー組織 Lazarus Group がこの事件の背後にいると強く疑われています。現地時間、韓国聯合ニュースは情報通信技術（ICT）業界および韓国政府の関連部門から、北朝鮮の情報総局に属するハッカー組織 Lazarus Group が大きな犯行の疑いがあるため、当局が Upbit に対して現場検査を行っていることを確認しました。このハッカー組織は、2019年に Upbit から580億ウォン相当のイーサリアムを盗んだ事件に関与したとされています。政府関係者は「今回の攻撃はサーバーを狙ったものではなく、管理者アカウントを盗まれたか、管理者になりすまして資金移動が行われた可能性が高い」と述べています。また、「現在把握している状況から判断すると、6年前のハッカーもこの方法で攻撃を実施したため、今回も同様の手口であると推測される」とも語っています。

据 DL News 报道，Web3 审计公司 opsek 的创始人、安全联盟（SEAL）成员 Pablo Sabbatella 在 Devconnect 大会上透露，朝鲜的渗透情况远超想象，15% 到 20% 的加密公司里潜藏着朝鲜渗透人员，30% - 40% 的求职申请可能来自试图渗透的朝鲜特工。由于国际制裁，多数朝鲜特工无法直接求职，便在全球物色远程工作者，尤其是乌克兰、菲律宾等发展中国家的人作为掩护。他们要求这些工作者交出账户凭证，或允许自己远程使用其身份，工作者可获 20% 收入，特工拿 80%。朝鲜特工还会找美国人当"前端"，伪装成不会英语、来自中国的面试者，在对方电脑上植入恶意软件获取美国 IP，绕过限制访问更多内容。被录用后，他们因工作勤奋、不抱怨，常被长期留用。识别他们可问对金正恩的看法，他们被禁止说坏话。Sabbatella 称，加密货币行业行动安全差，创始人易成社交工程受害者，电脑易染恶意软件。

据 The Block 报道，美国司法部（DOJ）宣布，已对超 1510 万美元被朝鲜黑客盗取的 USDT 启动没收程序，并成功让 5 名协助朝鲜 IT 人员渗透美国企业的相关人员认罪。司法部指出，这批被查获的加密资产与朝鲜军事黑客组织 APT38 相关，该组织在 2023 年先后攻击四家海外虚拟货币平台。FBI 于 2025 年 3 月查封相关资金，目前正在寻求法院批准没收并返还被害方。此外，美国司法部还宣布，四名美国公民及一名乌克兰籍人士已认罪，承认曾向朝鲜 IT 人员提供被盗身份信息并代为托管公司笔记本电脑，使其伪装成在美国本土工作。这些行为帮助朝鲜 IT 人员成功渗透 136 家美国企业，为朝鲜政府带来超 220 万美元收入，并导致至少 18 名美国公民的身份被盗。

据 Coindesk 报道，美国司法部检察官和调查人员在持续追捕朝鲜不法分子的过程中，新增查获价值 1500 万美元的 USDT，五名被告认罪。根据认罪协议相关的法庭文件，美国和乌克兰的中间人协助朝鲜人员在美国公司获得远程 IT 工作。这些中间人提供自己的虚假身份或盗用的身份信息，并将受害公司提供的笔记本电脑安置在美国各地的住所，以制造 IT 人员在美国本土工作的假象。这些被告的欺诈性就业计划共影响了 136 家以上的美国受害公司，为朝鲜政权创造了超过 220 万美元的收入，并导致 18 名以上美国人的身份信息泄露。此外，一个名为"高级持续威胁 38"（APT38）的朝鲜军方黑客组织于 2023 年在四个海外虚拟货币平台上实施了数百万美元的虚拟货币盗窃案。在 APT38 成员继续洗钱的同时，美国政府冻结并扣押了价值超过 1500 万美元的虚拟货币，目前正寻求没收这些虚拟货币，以便最终归还给合法所有者。朝鲜利用这两种计划为其武器和其他优先事项筹集资金，违反了制裁规定。

安全研究者は、北朝鮮のハッカーグループKONNIが新しい攻撃手法を開発し、初めてGoogleのFind Hub資産追跡機能を利用してAndroidデバイスに対してリモートデータ消去攻撃を実施したことを発見しました。攻撃者は、心理カウンセラーや人権活動家に偽装し、韓国のKakaoTalk通信プラットフォームで「ストレス解消プログラム」と呼ばれるマルウェアを配布しました。被害者がこれらのファイルを実行すると、攻撃者はGoogleアカウントの資格情報を盗み、Find Hub機能を利用してデバイスの位置を追跡し、リモートリセットを実行し、個人データが削除される結果となります。今回の攻撃はKONNI APT活動の後続行動として確認されており、この組織は北朝鮮政府が支援するKimsukyやAPT 37と密接に関連しています。セキュリティ専門家は、ユーザーにアカウントのセキュリティを強化し、二要素認証を有効にし、インスタントメッセージングツールを通じて受信したファイルに注意を払うように勧めています。

韓国の副外相金智娜は、韓国が北朝鮮に対する制裁の枠組みを調整する可能性があると述べ、これは暗号通貨の盗難の脅威に対応するためである。これに先立ち、アメリカ財務省は8人の北朝鮮の銀行家と2つの団体に制裁を課し、彼らが暗号通貨を通じてマネーロンダリングを行い、核兵器の開発を支援していると非難した。報道によれば、北朝鮮は2024年1月以来、約284億ドルの暗号通貨を盗んでおり、その一部は核兵器計画に流れている。金智娜は、韓米の協調が北朝鮮のデジタル脅威に対処する上で重要であると強調し、韓国は過去にもアメリカの行動に基づいて単独で北朝鮮に制裁を実施してきた。

独立研究者 tanuki42 は、マーケットメイカー DWF Labs が 2022 年 9 月に北朝鮮関連の脅威組織 AppleJeus に侵入された疑いがあり、少なくとも 4400 万ドルの損失を被ったと述べています。主に USDC/USDT に関連しており、関連するアドレスの資金はビットコインにクロスチェーンされ、長期間静止しています。最近、一部がホスティング型ミキシングサービス Mixero に流入しました。投稿には、複数の関連取引と未使用の BTC アドレスもリストされています。2025 年 11 月時点で、DWF Labs はこの事件を公に確認していません。