ハッカー組織

CoinDesk の報道によると、ブロックチェーン分析会社 Elliptic は、Drift Protocol が攻撃を受け、2.85 億ドルの損失を被ったと述べており、「複数の兆候」が北朝鮮支援の DPRK ハッカー組織を指し示しています。Elliptic は、オンチェーンの行動、マネーロンダリングの手法、およびネットワークレベルの信号を重点的に分析し、これらが以前の国家関連の攻撃と一致していることを示しています。Elliptic の報告書は次のように指摘しています。「もし確認されれば、これは Elliptic が今年追跡した 18 番目の DPRK 攻撃であり、これまでに 3 億ドル以上が盗まれています。」技術的な観点から、Elliptic はこの攻撃を「計画的で、入念に準備された」と説明しており、主要な攻撃の前に早期のテスト取引と事前に配置されたウォレットが存在していました。攻撃が実行された後、資金は迅速に統合され、クロスチェーンで移転され、流動性の高い資産に変換され、資金の出所を混乱させつつも制御を維持するための組織的で再現可能なマネーロンダリングプロセスが形成されました。この事件は 10 種類以上の資産タイプに関与しており、資金は Solana からイーサリアムおよび他のチェーンにクロスチェーンで移転され、クロスチェーンの追跡能力の重要性がさらに浮き彫りになっています。Drift Protocol は Solana ブロックチェーン上で最大の分散型永久契約取引プラットフォームであり、そのトークンはハッカー攻撃を受けて以来 40% 以上下落し、約 0.06 ドルとなっています。

安全研究機関 Ctrl-Alt-Intel が、北朝鮮に関連する疑いのあるハッカーグループが、ステーキングプラットフォーム、取引所ソフトウェアプロバイダー、暗号取引所に対して攻撃を仕掛けたことを明らかにしました。攻撃者は、React2Shell 脆弱性（CVE-2025-55182）および取得した AWS アクセス資格情報を利用してクラウド環境に侵入し、S3、EC2、RDS、EKS、ECR などのリソースを列挙し、Secrets Manager、Terraform ファイル、Kubernetes 設定、Docker コンテナからキーと資格情報を抽出しました。研究者によると、攻撃者は 5 つの Docker イメージをダウンロードし、ChainUp 顧客関連のソフトウェアコンポーネントを含むソースコードを盗みました。攻撃インフラストラクチャには、韓国のサーバー 64.176.226[.]36 およびドメイン itemnania[.]com が含まれています。報告書は、この活動が北朝鮮に関連する攻撃の特徴と一致していると述べていますが、帰属の信頼度は中程度であり、AWS 資格情報の出所は明確ではありません。

据 Cointelegraph 报道，隶属于 Google Cloud 的美国网络安全公司 Mandiant 发现朝鲜关联威胁组织正在加大针对加密货币和金融科技公司的社会工程攻击。该威胁组织（代号 UNC1069）部署了七个恶意软件集合，包括新发现的 SILENCELIFT、DEEPBREATH 和 CHROMEPUSH，旨在获取敏感数据并窃取数字资产。攻击者利用被入侵的 Telegram 账户和通过人工智能生成的深度伪造视频进行虚假 Zoom 会议诱骗。自 2018 年以来，Mandiant 一直追踪该组织，但人工智能的进步帮助该组织自 2025 年 11 月起扩大了恶意活动规模。在一起入侵事件中，攻击者使用被盗的加密货币创始人 Telegram 账户发起联系，通过所谓的 ClickFix 攻击诱导受害者执行含有隐藏命令的"故障排除"指令。

据 Cointelegraph 报道，隶属于 Google Cloud 的美国网络安全公司 Mandiant 发现朝鲜关联威胁组织正在加大针对加密货币和金融科技公司的社会工程攻击。该威胁组织（代号 UNC1069）部署了七个恶意软件集合，包括新发现的 SILENCELIFT、DEEPBREATH 和 CHROMEPUSH，旨在获取敏感数据并窃取数字资产。攻击者利用被入侵的 Telegram 账户和通过人工智能生成的深度伪造视频进行虚假 Zoom 会议诱骗。自 2018 年以来，Mandiant 一直追踪该组织，但人工智能的进步帮助该组织自 2025 年 11 月起扩大了恶意活动规模。在一起入侵事件中，攻击者使用被盗的加密货币创始人 Telegram 账户发起联系，通过所谓的 ClickFix 攻击诱导受害者执行含有隐藏命令的"故障排除"指令。

AhnLab が発表した『2025年ネットワーク脅威トレンドと2026年セキュリティ展望』レポートによると、北朝鮮背景のハッカー組織 Lazarus が過去12ヶ月で最も多く言及されており、主に「標的型フィッシング」を利用して攻撃を実施し、講演会の招待や面接のリクエストなどのメールに偽装してターゲットを誘導しています。レポートでは、Lazarus が今年2月21日の Bybit のハッキング事件（損失14億ドル）や最近の韓国取引所 Upbit の3000万ドルの脆弱性攻撃など、複数の重大な攻撃の主要な容疑者と見なされていると述べています。AhnLab は、セキュリティを向上させるために、企業は定期的なセキュリティ監査、迅速なパッチ更新、従業員教育の強化を含む多層防御システムを構築する必要があると述べています。同社はまた、個人ユーザーに対して多要素認証の使用、未知のリンクや添付ファイルの慎重な取り扱い、個人情報の過度な露出の回避、公式チャネルからのみコンテンツをダウンロードすることを推奨しています。AhnLab は、AI アプリケーションの普及に伴い、攻撃者が識別が難しいフィッシングメール、偽装ページ、ディープフェイクコンテンツを生成しやすくなるため、今後関連する脅威がさらに複雑化する可能性があると指摘しています。（Cointelegraph）

韓国の仮想資産取引所 Upbit がハッカー攻撃を受け、445億ウォンの仮想資産が盗まれたと、韓国聯合ニュースが報じています。現在、北朝鮮の情報総局傘下のハッカー組織 Lazarus Group がこの事件の背後にいると強く疑われています。現地時間、韓国聯合ニュースは情報通信技術（ICT）業界および韓国政府の関連部門から、北朝鮮の情報総局に属するハッカー組織 Lazarus Group が大きな犯行の疑いがあるため、当局が Upbit に対して現場検査を行っていることを確認しました。このハッカー組織は、2019年に Upbit から580億ウォン相当のイーサリアムを盗んだ事件に関与したとされています。政府関係者は「今回の攻撃はサーバーを狙ったものではなく、管理者アカウントを盗まれたか、管理者になりすまして資金移動が行われた可能性が高い」と述べています。また、「現在把握している状況から判断すると、6年前のハッカーもこの方法で攻撃を実施したため、今回も同様の手口であると推測される」とも語っています。

安全研究者は、北朝鮮のハッカーグループKONNIが新しい攻撃手法を開発し、初めてGoogleのFind Hub資産追跡機能を利用してAndroidデバイスに対してリモートデータ消去攻撃を実施したことを発見しました。攻撃者は、心理カウンセラーや人権活動家に偽装し、韓国のKakaoTalk通信プラットフォームで「ストレス解消プログラム」と呼ばれるマルウェアを配布しました。被害者がこれらのファイルを実行すると、攻撃者はGoogleアカウントの資格情報を盗み、Find Hub機能を利用してデバイスの位置を追跡し、リモートリセットを実行し、個人データが削除される結果となります。今回の攻撃はKONNI APT活動の後続行動として確認されており、この組織は北朝鮮政府が支援するKimsukyやAPT 37と密接に関連しています。セキュリティ専門家は、ユーザーにアカウントのセキュリティを強化し、二要素認証を有効にし、インスタントメッセージングツールを通じて受信したファイルに注意を払うように勧めています。

国家計算機ウイルス緊急処理センターは、LuBianマイニングプールがハッカーによって攻撃され、大量のビットコインが盗まれた事件に関する技術的な追跡分析報告を発表しました。その中で、LuBianマイニングプールで重大なハッキング事件が発生し、合計127272.06953176枚のビットコイン（当時の時価約35億ドル、現在の時価は150億ドルに達しています）が攻撃者によって盗まれたことが指摘されています。この大量のビットコインの保有者は、カンボジアの王子グループの主席である陳志です。ハッキング事件発生後、攻撃者が制御するビットコインウォレットアドレスに保存されていたビットコインは、4年間沈黙を保ち、ほとんど動きがありませんでした。これは明らかに一般的なハッカーが利益を追求して急いで現金化する行動とは異なり、まるで「国家級ハッカー組織」によって操られた精密な行動のようです。2024年6月まで、この盗まれたビットコインは新しいビットコインウォレットアドレスに再び移されることはなく、現在も動いていません。2025年10月14日、アメリカ司法省は陳志に対して刑事告発を行い、陳志およびその王子グループの12.7万枚のビットコインを押収すると発表しました。さまざまな証拠は、アメリカ政府が押収した陳志およびその王子グループのこの大量のビットコインが、早くも2020年にハッカーによって技術的手段で盗まれたLuBianマイニングプールのビットコインであることを示しています。つまり、アメリカ政府は早くも2020年にハッカー技術を用いて陳志が保有する12.7万枚のビットコインを盗んだ可能性があり、これは典型的な国家級ハッカー組織による「黒吃黒」事件です。LuBianマイニングプールが2020年にハッキングされた事件は深刻な影響を及ぼし、マイニングプールは実質的に解散し、損失は当時の総資産の90%以上に達しましたが、盗まれたビットコインの現在の価値は150億ドルに上昇しており、価格変動によるリスクの拡大を浮き彫りにしています。

ChainCatcher のメッセージによると、Cryptopolitan が報じたところによれば、英国警察は Scattered Spider ハッカーグループに関連するティーンエイジャーを逮捕しました。このグループは、100 を超える組織から 1.15 億ドル以上の身代金を要求したとされています。逮捕された 19 歳の容疑者 Thalha Jubair は、約 120 件のネットワーク侵入事件に関与している疑いがあります。裁判所の文書によると、このグループは 2022 年 5 月から現在までに複数のランサムウェア攻撃を実施しており、そのうち 5 件の被害企業は約 8950 万ドルの身代金を支払いました。アメリカ連邦捜査局（FBI）は、Jubair が管理するサーバーのウォレットから 3600 万ドルのデジタル資産を押収したと述べています。調査によると、Jubair は身代金で購入したゲームギフトカードや出前のために足がついたとされています。このグループは以前、SIM カードの盗用やソーシャルエンジニアリング攻撃の手段を用いて犯罪を行い、アメリカ連邦裁判所システムを含む複数の重要機関が被害を受けました。

ChainCatcher のメッセージ、EurekaTrading の創設者 Kuan Sun がツイートでフィッシング攻撃によって 1,300 万ドルを失いかけたことを振り返る：2025 年 9 月 2 日、彼のウォレットに約 1,300 万ドルの資産が Lazarus ハッカーグループに盗まれそうになり、セキュリティチームが緊急対応し、最終的に資金を回収した。発端は一見正常な Zoom 会議の招待で、実際には巧妙に仕掛けられたフィッシングトラップだった。ハッカーは「半熟人」の関係、ディープフェイク動画、偽の Rabby プラグインを利用して、被害者の Venus ポジションに特化した攻撃を行った。偽のプラグインを信じて withdraw を実行したことで、資産が連帯責任で移動されるリスクにさらされた。PeckShield、SlowMist、Venus および複数のセキュリティチームが迅速に対応し、プロトコルを一時停止しリスクを調査し、最終的に資金の盗難を防いだ。ハードウェアウォレットは万能ではなく、プラグインやフロントエンドがハイジャックされるリスクは依然として存在する；Zoom リンク、アップグレードポップアップ、半熟人の関係はすべて攻撃の入り口となる可能性がある。

ChainCatcher のメッセージ、SlowMist の余弦がソーシャルメディアで発表したところによると、Venus の大口ユーザー Kuan Sun（@KuanSun1990）のフィッシング事件は完結を迎え、このユーザーはほぼ全ての損失を取り戻しました。関連するハッカー組織はそのために約 300 万ドルの攻撃コストを支払いました。

ChainCatcher のメッセージ、SlowMist の最高情報セキュリティ責任者 23pds がツイートしました。「疑わしい北朝鮮のハッカー組織 Kimsuky APT のメンバーが重大なデータ漏洩に遭遇し、数百 GB の内部ファイルとツールが漏洩しました。侵入はおそらく 2025 年 6 月初旬に発生し、この組織の複雑なバックドア、フィッシングフレームワーク、偵察活動が暴露されました。漏洩したファイルの分析によると、内部のダンプは『KIM』という偽名を持つ Kimsuky オペレーターの 2 つの侵害されたシステムに由来しています。1 つは Deepin 20.9 を実行している Linux 開発ワークステーションであり、もう 1 つはフィッシング攻撃のためのパブリック VPS です。」

ChainCatcher のメッセージによると、イスラエルに関連するハッカー組織 Gonjeshke Darande が、イラン最大の暗号通貨取引所 Nobitex の全ソースコードを公開したと発表しました。関連資産情報は完全に暴露されています。この組織は、Nobitex に残っているユーザー資産が非常に高いリスクにさらされていると警告し、ソーシャルプラットフォームで Nobitex の内部システムの詳細を示しました。

ChainCatcher のメッセージによると、CoinDesk が報じたところによれば、ブロックチェーンセキュリティ会社 Elliptic は、イスラエルに関連するハッカー組織 Gonjeshke Darande がイランの暗号通貨取引所 Nobitex に対して行った攻撃が 9000 万ドルの損失を引き起こしたのは経済的動機によるものではなく、関連資金は Vanity Address に送信され、実質的にトークンが消去されたと述べています。以前のニュースでは、ハッカー組織 "Gonjeshke Darande"（ペルシャ語で「凶暴なスズメ」を意味する）がイランの暗号通貨取引所 Nobitex に対してサイバー攻撃を行ったと発表し、24 時間以内にその取引所のソースコードと内部ネットワーク情報を公開すると警告しました。

ChainCatcher のメッセージ、ハッカー組織 Gonjeshke Darande（ペルシャ語で「凶猛なスズメ」を意味する）がイランの暗号通貨取引所 Nobitex に対してサイバー攻撃を行ったと発表し、24 時間以内にその取引所のソースコードと内部ネットワーク情報を公開する警告を発しました。この組織は Nobitex をイラン政権が国際制裁を回避し、テロ活動を資金提供するための核心的なツールであると非難し、さらにはそのインフラを利用して制裁を回避する方法をユーザーに公開するよう指導しています。ハッカー組織はまた、Nobitex での勤務がイラン政府によって有効な軍事サービスと見なされていると主張し、その取引所がイラン政権にとって重要であることを浮き彫りにしています。以前、このハッカー組織はイラン革命防衛隊の「セパ銀行」（Bank Sepah）に対して攻撃を行ったことがあります。ハッカーは Nobitex のユーザーに対し、早急に資産を引き出すよう警告し、「この時点以降にプラットフォームに残っている資産はリスクにさらされる」と述べています。以前の報道によれば、イランの暗号取引所 Nobitex はハッカー攻撃を受け、4865 万ドルの損失を出した疑いがあります。

ChainCatcher のメッセージによると、ハッカー組織 Librarian Ghouls（別名 Rare Werewolf）が数百台のロシアのデバイスに侵入し、それらを利用して暗号通貨のマイニングを行っています。この組織は、合法的な組織を装ったフィッシングメールを通じてマルウェアを拡散し、デバイスに感染した後、リモート接続を確立し、Windows Defenderなどのセキュリティシステムを無効にします。ハッカーはデバイスの RAM、CPU コア、GPU 情報を収集し、暗号通貨マイニングプログラムの設定を最適化します。このハッカー事件は 2023 年 12 月に始まり、攻撃活動は主にロシアの工業企業や工学学校に影響を与え、ベラルーシやカザフスタンにも被害者がいます。カスペルスキーは、Librarian Ghouls がハッカー活動家である可能性があると推測しています。なぜなら、彼らは独自のマルウェアを開発するのではなく、合法的な第三者ツールに依存しているからであり、これは類似の組織がよく使用する技術です。

ChainCatcher のメッセージ、セキュリティ会社 Wiz は、コードネーム JINX-0132 のハッカー組織が DevOps ツールの設定の脆弱性を大規模に利用して暗号通貨マイニング攻撃を行っていることを発見しました。この攻撃は主に HashiCorp Nomad/Consul、Docker API、Gitea などのツールを対象としており、約 25% のクラウド環境がリスクにさらされています。攻撃手法には以下が含まれます：Nomad のデフォルト設定を利用して XMRig マイニングソフトウェアをデプロイすること、Consul の未承認 API を通じて悪意のあるスクリプトを実行すること、露出した Docker API を制御してマイニングコンテナを作成すること。

ChainCatcher のメッセージによると、Finance Feeds が報じたところによれば、北朝鮮のハッカー組織 Lazarus Group は最近、攻撃対象を個人投資家にシフトし、5 月 24 日に悪意のあるソフトウェアを通じてある商人から 520 万ドル以上を盗みました。盗まれた資金は、取引所のウォレット、マルチシグウォレット、外部アカウントなど、複数のウォレットタイプに関与しています。ブロックチェーンアナリストの ZackXBT は、ハッカーがミキサー Tornado Cash を通じて約 1000 ETH を移転したことを追跡しました。セキュリティ専門家は、個人投資家に対して防護措置を講じることを推奨しています：ハードウェアウォレットを使用して大額の資産を保管する、二要素認証を有効にする、定期的にソフトウェアのパッチを更新する、疑わしいリンクに注意する、定期的に取引記録を確認する。この攻撃は、同組織が機関を対象とする戦略から個人投資家にシフトしたことを示しています。

ChainCatcher のメッセージによると、Bitcoin.com News が報じたところによれば、北朝鮮のハッカーグループ Lazarus Group は Bybit を攻撃した後、一部の盗難資産をビットコインに換金し始めた。データによると、このグループは現在 13562 BTC を保有しており、価値は約 11.4 億ドルである。これにより、北朝鮮のビットコイン保有量は増加し続けており、現在はエルサルバドル（6117 BTC）やブータン（10635 BTC）を超え、世界でビットコインを最も保有する政府機関の中で第3位となっている。アメリカ（198109 BTC）とイギリス（61245 BTC）に次ぐ。