ラザルスグループ

Cryptopolitan の報道によると、ネットワークセキュリティアナリストは RemotePE と呼ばれる新しいファイルレスリモートアクセス型トロイの木馬 (RAT) を発見しました。北朝鮮に関連すると考えられているサイバー犯罪組織 Lazarus Group がこのトロイの木馬を利用して銀行や暗号通貨会社を攻撃しています。このトロイの木馬は完全にメモリ内で実行され、従来のウイルス対策やフォレンジックツールでは検出が困難です。攻撃者は Telegram を通じて取引会社の従業員を装い、偽の Calendly や Picktime のリンクを使用してソーシャルエンジニアリング攻撃を行います。マルウェアは DPAPILoader、RemotePELoader、RemotePE の三段階でチェーンロードされ、全プロセスはファイルシステムに触れず、プロセスの掘り空け、逆解析チェック、暗号化された C2 通信を利用して検出を回避します。このマルウェアは 2025 年 9 月に初めて発見されました。2026 年の最初の 4 ヶ月間で、Lazarus 組織は約 5.77 億ドルの暗号資産を盗み出し、これは世界の暗号盗難総額の 76% に相当します。2017 年以来、この組織が累計で盗んだ金額は 60 億ドルに達しています。

"チェーン上の探偵" ZachXBT は X プラットフォームで、いくつかのアメリカの法律事務所がその調査作業とチェーン上の証拠収集の成果を利用して、ハッカー事件の被害者が法的請求を行うのを助けているが、このような行為は逆に被害者が補償を受けたり資金を回復したりすることに影響を与える可能性があると指摘しました。以前の Lazarus Group に関わるハッカー事件のいくつかでは、このような法律事務所は通常、チェーン上の資金追跡や凍結が完了した後に介入し、暗号事件自体との関連が薄い後続の法的措置を提起しており、Harmony や Bybit などの事件でも同様の戦略を用いて「便乗請求」を行っていました。ZachXBT はまた、暗号コミュニティがこのような行為に抵抗するための DAO を設立すべきだと呼びかけています。

CoinDeskによると、CertiKの監視によれば、Lazarusグループは金融テクノロジーおよび暗号通貨業界の幹部を対象に「Mach-O Man」と呼ばれる攻撃を展開しています。この操作はClickFixのソーシャルエンジニアリング技術を利用し、虚偽のオンライン会議招待を送信することで、被害者にMac端末で修復指令を貼り付けさせ、会社および財務システムへのアクセス権を取得します。CertiKの研究者ナタリー・ニューソンは、Lazarusグループが過去2週間でDriftとKelpDAOを通じて5億ドル以上を盗んだと述べています。Mach-O ManはLazarusグループの傘下にあるChollima部門によって開発されたモジュラーmacOSマルウェアツールキットで、使用後に自動的に削除され、検出を回避します。さらに、攻撃者はDeFiプロジェクトのドメイン名をハイジャックし、虚偽のCloudflareメッセージに置き換える方法でこの攻撃を実施しています。

The Block の報道によると、暗号通貨の電子商取引およびギフトカード会社 Bitrefill がネットワーク攻撃を受け、北朝鮮支援のハッカー組織 Lazarus Group によるものと疑われています。攻撃は、従業員のノートパソコンが侵入されたことから始まり、ハッカーは一部のホットウォレットの資金を盗み、サプライヤーに対して疑わしい調達を行いました。攻撃者は Bitrefill のより広範なインフラにも侵入し、一部のデータベースや特定の暗号通貨ウォレットにアクセスしました。その結果、約 18,500 件の購入記録がアクセスされ、メールアドレス、暗号支払いアドレス、IP アドレスなどの限られた顧客情報が含まれています。その中で約 1,000 件の記録の暗号顧客名が露出リスクにさらされており、会社は関連する個人に連絡を取っています。Bitrefill は、ほとんどの購入に KYC を強制しておらず、KYC に関するデータは外部の KYC 提供者によってのみ保管されており、会社のシステムにはバックアップがありません。調査によると、攻撃者はデータベース全体を抽出することはなく、盗むことができるターゲットを探るために限られたクエリを実行したことがわかりました。これには、暗号通貨やギフトカードの在庫が含まれています。会社は「自己負担」で運転資本の損失を負い、zeroShadow、SEAL911 などのセキュリティチームと協力して対応しています。現在、支払い、在庫、およびアカウント機能はほぼ正常に回復しており、売上も回復しています。

朝鮮に関連するハッカー組織は、暗号業界の関係者に対する攻撃手法を継続的に強化しており、AI生成のディープフェイクビデオ通話を通じて、被害者が知っているか信頼している人物になりすまし、悪意のあるソフトウェアをインストールさせるよう誘導しています。BTC Pragueの共同創設者であるMartin Kuchařは、攻撃者が侵害されたTelegramアカウントを利用してビデオ通話を開始し、「Zoomの音声問題を修正する」という理由で、被害者に偽装されたプラグインをインストールさせることで、デバイスの完全な制御権を取得することを明らかにしました。セキュリティ研究機関Huntressは、この攻撃パターンが以前に明らかにされた暗号開発者に対する行動と高度に一致していることを指摘しており、悪意のあるスクリプトはmacOSデバイス上で多段階感染を実行し、バックドアを植え付け、キーボード入力を記録し、クリップボードの内容や暗号ウォレットの資産を盗むことができます。研究者たちは、この一連の攻撃が北朝鮮国家支援のハッカー組織Lazarus Group（別名BlueNoroff）に起因することを高く確信しています。ブロックチェーンセキュリティ会社SlowMistの情報セキュリティ責任者は、この種の攻撃には異なる行動において明らかな再利用の特徴があり、特定のウォレットや暗号関係者をターゲットにしていると述べています。分析によれば、ディープフェイクと音声クローン技術の普及に伴い、画像やビデオは身元の信頼性の確かな根拠としては難しくなっており、暗号業界は警戒を強化し、多重検証とセキュリティ対策を強化する必要があります。

ChainCatcher のメッセージによると、オンチェーン探偵の ZachXBT が監視したところ、あるユーザーが 5 月 16 日に北朝鮮のハッカー組織 Lazarus Group に攻撃された疑いがあり、約 320 万ドルの資産を失ったとのことです。盗まれた資産は市場で売却され、盗取された資金はその後 Solana から Ethereum にクロスチェーンされました。6 月 25 日に 400 枚の ETH が Tornado Cash に入金され、6 月 27 日にも 400 枚の ETH が Tornado Cash に入金されました。

ChainCatcher のメッセージによると、Finance Feeds が報じたところによれば、北朝鮮のハッカー組織 Lazarus Group は最近、攻撃対象を個人投資家にシフトし、5 月 24 日に悪意のあるソフトウェアを通じてある商人から 520 万ドル以上を盗みました。盗まれた資金は、取引所のウォレット、マルチシグウォレット、外部アカウントなど、複数のウォレットタイプに関与しています。ブロックチェーンアナリストの ZackXBT は、ハッカーがミキサー Tornado Cash を通じて約 1000 ETH を移転したことを追跡しました。セキュリティ専門家は、個人投資家に対して防護措置を講じることを推奨しています：ハードウェアウォレットを使用して大額の資産を保管する、二要素認証を有効にする、定期的にソフトウェアのパッチを更新する、疑わしいリンクに注意する、定期的に取引記録を確認する。この攻撃は、同組織が機関を対象とする戦略から個人投資家にシフトしたことを示しています。

ChainCatcher のメッセージによると、ロイター通信が報じたところによれば、北朝鮮のハッカー組織 Lazarus Group がアメリカで複数の会社を登録し、暗号通貨開発者を狙ったネットワーク攻撃を行っているとのことです。サイバーセキュリティ会社 Silent Push の報告によれば、ハッカーはニューメキシコ州とニューヨーク州に Blocknovas LLC や Softglide LLC などの会社を登録し、偽の身分と住所を利用して、偽造された仕事の機会を通じてマルウェアを配布しています。FBI は Blocknovas のドメインを押収し、個人を欺き、悪意のあるプログラムを広めるために使用されていたと述べています。この行為はアメリカ財務省と国連による北朝鮮への制裁規定に違反しています。

ChainCatcher のメッセージによると、Spot On Chain の監視によれば、今日、Lazarus Group（北朝鮮のハッカー）が 40.78 WBTC（約 351 万ドル）を売却し、251 万ドルの利益を得た（+251%）--これは彼らが 2 年前に購入したものである。彼らは 2023 年 2 月に約 24521 ドルの価格で 99.9 万ドルを使って WBTC を購入し、12 時間前に約 86170 ドルの価格で 1857 ETH で売却した。ハッカーはその後、これらのイーサリアムを 3 つのウォレットに分散させた。

ChainCatcher のメッセージによると、Arkham のデータでは、北朝鮮のハッカー組織 Lazarus Group が27分前に未知のアドレスに12.929 BTCを転送しました。最新のデータでは、Lazarus Group の BTC 保有量は1.344万枚に減少し、約11.6億ドルの価値があります。

ChainCatcher のメッセージによると、Wemade のブロックチェーン子会社である Wemix 財団は、ハッキング攻撃により約 865 万 WEMIX トークン（約 622 万ドル相当）の損失を公表しました。CEO の Kim Seok-hwan は、ハッカーが北朝鮮の組織 Lazarus Group ではなく、専門家である可能性が高いと述べ、NFT プラットフォーム Nile のサービスを通じて認証キーを盗み出し、システムに侵入したとしています。ハッカーはこの攻撃のために 2 ヶ月間準備を行い、異常な取引を作成することで 15 回の引き出しを試み、そのうち 13 回が成功しました。Kim Seok-hwan はまた、金曜日に Wemix の全サービスを再開する計画であり、新しいブロックチェーンインフラストラクチャ上でセキュリティ対策を強化することを明らかにしました。

ChainCatcher のメッセージによると、Bitcoin.com News が報じたところによれば、北朝鮮のハッカーグループ Lazarus Group は Bybit を攻撃した後、一部の盗難資産をビットコインに換金し始めた。データによると、このグループは現在 13562 BTC を保有しており、価値は約 11.4 億ドルである。これにより、北朝鮮のビットコイン保有量は増加し続けており、現在はエルサルバドル（6117 BTC）やブータン（10635 BTC）を超え、世界でビットコインを最も保有する政府機関の中で第3位となっている。アメリカ（198109 BTC）とイギリス（61245 BTC）に次ぐ。

ChainCatcher のメッセージによると、Decrypt の報道では、Socket 研究チームが新たな攻撃の中で、北朝鮮のハッカー組織 Lazarus が6つの新しい悪意のある npm ソフトウェアパッケージに関連していることを発見しました。これらのパッケージは、ユーザーの認証情報を盗むためのバックドアを展開しようとしています。さらに、これらのマルウェアは暗号通貨データを抽出し、Solana および Exodus 暗号ウォレット内の敏感な情報を盗むことができます。攻撃は主に Google Chrome、Brave、Firefox ブラウザのファイルおよび macOS のキーチェーンデータを対象としており、開発者が意図せずにこれらの悪意のあるパッケージをインストールするように仕向けています。今回発見された6つの悪意のあるソフトウェアパッケージは、is-buffer-validator、yoojae-validator、event-handle-package、array-empty-validator、react-event-dependency、auth-validator です。これらは「typosquatting」（スペルミスの名前を利用すること）を通じて開発者を騙してインストールさせます。APT 組織はそのうちの5つのパッケージのために GitHub リポジトリを作成し、合法的なオープンソースプロジェクトに偽装して、悪意のあるコードが開発者によって使用されるリスクを高めています。これらのパッケージは330回以上ダウンロードされています。現在、Socket チームはこれらのパッケージの削除を要求し、関連する GitHub リポジトリおよびユーザーアカウントを報告しました。Lazarus は悪名高い北朝鮮のハッカー組織であり、最近の14億ドルの Bybit ハッキング、4100万ドルの Stake ハッキング、2700万ドルの CoinEx ハッキング、そして暗号業界における無数の他の攻撃に関連しています。

ChainCatcher のメッセージによると、Cointelegraph が報じたところでは、暗号通貨取引所 Bybit は、分散型金融（DeFi）プロトコル ParaSwap に対し、Lazarus ハッカーグループがこの取引所から盗まれたデジタル資産を使用して取引を行った際に発生した手数料の返還を求める提案を発表したことを確認しました。3 月 4 日、ParaSwap の分散型自治組織（DAO）フォーラムに提案が公開され、約 10 万ドル相当の 44.67 枚の wETH の凍結と返還が求められました。この提案は当初疑念を呼び、多くの DAO メンバーが提案の出所を確認するよう求めました。Bybit は 3 月 5 日に公式 X アカウントで確認の投稿を行い、この提案が自社によって発起されたものであることを確認しました。この資金返還の提案は、DAO メンバーの間で激しい議論を引き起こしました。DeFi 研究者であり ParaSwap DAO の代表である Ignas は、DAO がハッキング攻撃から利益を得ることは「悪いイメージ」であり、資金を返還することは業界の仲間への支持を示すことになると指摘しました。彼はさらに、これらの資金を保持することは規制の審査や法的な問題を引き起こす可能性があると付け加えました。しかし、彼はまた、返金が DeFi に危険な前例を設定することになると警告しました。「コードは法律です。DAO はスマートコントラクトを通じて合法的に手数料を得ています。今返還すれば、将来的に同様の状況が発生した場合はどうなるのでしょうか？これは危険な前例を設定することになります。」ParaSwap DAO メンバーの意見は分かれ、一部は条件付きで手数料の返還を支持し、他のメンバーは返金に反対票を投じました。DAO メンバーの SEED Gov は、全額返還、リクエストの拒否、または 10% を報酬として保持する構造的な返還を含む三つの可能な行動案を提案しました。これは Bybit の既存のバグ報奨プログラムと一致しています。

ChainCatcher メッセージ、「チェーン上の探偵」ZachXBT が個人チャンネルで投稿し、ある未知の被害者が 2 月 28 日に Tron 上で北朝鮮のハッカー Lazarus Group に攻撃され、約 310 万ドルの損失を被ったことを明らかにしました。資金は Tron からイーサリアムに移動され、ETH は Tornado Cash に入金される前に 10 のアドレスに分配されました。

ChainCatcher のメッセージによると、eXch は Bitcointalk フォーラムの投稿で「このプラットフォームは Lazarus のマネーロンダリングを行わない。反対の意見は、分散型通貨の相互運用性とオンチェーンプライバシーが消失することを望む一部の人々の見解に過ぎない。これらの人々は長い間、分散型暗号通貨を嫌ってきた」と述べています。eXch は、ByBit のハッキングによって流出した資金の一部が最終的にそのプラットフォームのアドレスに入ったことを認めていますが、この転送は「孤立したケース」であると主張しています。eXch チームは、資金の利益を「暗号空間内外のプライバシーとセキュリティに取り組むさまざまなオープンソースプロジェクト」に寄付することを約束しました。以前の情報によると、慢雾の余弦は、すでにかなりの量の ETH が eXch を通じて洗浄され、BTC や XMR などに交換されていることを考慮し、すべてのプラットフォームは eXch から出た資金に対してリスク管理レベルを引き上げるべきだと述べています。

ChainCatcher のメッセージ、オンチェーン探偵 ZachXBT が個人チャンネルで発表したところによると、eXch（中央集権型ミキサー）チームは Bybit のセキュリティ事件ハッカーグループ Lazarus Group が 3500 万ドルを洗浄するのを手助けした後、誤って 34 ETH（価値 9.6 万ドル）を別の取引所のホットウォレットアドレスに送信してしまった。

ChainCatcher のメッセージ、オンチェーン探偵 ZachXBT がソーシャルメディアで投稿し、Lazarus Group が Bybit ハッキング事件の一部資金を Phemex ハッキング事件の資金と直接オンチェーンで集約し、これら二つの事件の初期盗難アドレスの資金を混合したことを示しています。