朝鮮のハッカー組織

据 Cointelegraph 报道，隶属于 Google Cloud 的美国网络安全公司 Mandiant 发现朝鲜关联威胁组织正在加大针对加密货币和金融科技公司的社会工程攻击。该威胁组织（代号 UNC1069）部署了七个恶意软件集合，包括新发现的 SILENCELIFT、DEEPBREATH 和 CHROMEPUSH，旨在获取敏感数据并窃取数字资产。攻击者利用被入侵的 Telegram 账户和通过人工智能生成的深度伪造视频进行虚假 Zoom 会议诱骗。自 2018 年以来，Mandiant 一直追踪该组织，但人工智能的进步帮助该组织自 2025 年 11 月起扩大了恶意活动规模。在一起入侵事件中，攻击者使用被盗的加密货币创始人 Telegram 账户发起联系，通过所谓的 ClickFix 攻击诱导受害者执行含有隐藏命令的"故障排除"指令。

据 Cointelegraph 报道，隶属于 Google Cloud 的美国网络安全公司 Mandiant 发现朝鲜关联威胁组织正在加大针对加密货币和金融科技公司的社会工程攻击。该威胁组织（代号 UNC1069）部署了七个恶意软件集合，包括新发现的 SILENCELIFT、DEEPBREATH 和 CHROMEPUSH，旨在获取敏感数据并窃取数字资产。攻击者利用被入侵的 Telegram 账户和通过人工智能生成的深度伪造视频进行虚假 Zoom 会议诱骗。自 2018 年以来，Mandiant 一直追踪该组织，但人工智能的进步帮助该组织自 2025 年 11 月起扩大了恶意活动规模。在一起入侵事件中，攻击者使用被盗的加密货币创始人 Telegram 账户发起联系，通过所谓的 ClickFix 攻击诱导受害者执行含有隐藏命令的"故障排除"指令。

AhnLab が発表した『2025年ネットワーク脅威トレンドと2026年セキュリティ展望』レポートによると、北朝鮮背景のハッカー組織 Lazarus が過去12ヶ月で最も多く言及されており、主に「標的型フィッシング」を利用して攻撃を実施し、講演会の招待や面接のリクエストなどのメールに偽装してターゲットを誘導しています。レポートでは、Lazarus が今年2月21日の Bybit のハッキング事件（損失14億ドル）や最近の韓国取引所 Upbit の3000万ドルの脆弱性攻撃など、複数の重大な攻撃の主要な容疑者と見なされていると述べています。AhnLab は、セキュリティを向上させるために、企業は定期的なセキュリティ監査、迅速なパッチ更新、従業員教育の強化を含む多層防御システムを構築する必要があると述べています。同社はまた、個人ユーザーに対して多要素認証の使用、未知のリンクや添付ファイルの慎重な取り扱い、個人情報の過度な露出の回避、公式チャネルからのみコンテンツをダウンロードすることを推奨しています。AhnLab は、AI アプリケーションの普及に伴い、攻撃者が識別が難しいフィッシングメール、偽装ページ、ディープフェイクコンテンツを生成しやすくなるため、今後関連する脅威がさらに複雑化する可能性があると指摘しています。（Cointelegraph）

韓国の仮想資産取引所 Upbit がハッカー攻撃を受け、445億ウォンの仮想資産が盗まれたと、韓国聯合ニュースが報じています。現在、北朝鮮の情報総局傘下のハッカー組織 Lazarus Group がこの事件の背後にいると強く疑われています。現地時間、韓国聯合ニュースは情報通信技術（ICT）業界および韓国政府の関連部門から、北朝鮮の情報総局に属するハッカー組織 Lazarus Group が大きな犯行の疑いがあるため、当局が Upbit に対して現場検査を行っていることを確認しました。このハッカー組織は、2019年に Upbit から580億ウォン相当のイーサリアムを盗んだ事件に関与したとされています。政府関係者は「今回の攻撃はサーバーを狙ったものではなく、管理者アカウントを盗まれたか、管理者になりすまして資金移動が行われた可能性が高い」と述べています。また、「現在把握している状況から判断すると、6年前のハッカーもこの方法で攻撃を実施したため、今回も同様の手口であると推測される」とも語っています。

安全研究者は、北朝鮮のハッカーグループKONNIが新しい攻撃手法を開発し、初めてGoogleのFind Hub資産追跡機能を利用してAndroidデバイスに対してリモートデータ消去攻撃を実施したことを発見しました。攻撃者は、心理カウンセラーや人権活動家に偽装し、韓国のKakaoTalk通信プラットフォームで「ストレス解消プログラム」と呼ばれるマルウェアを配布しました。被害者がこれらのファイルを実行すると、攻撃者はGoogleアカウントの資格情報を盗み、Find Hub機能を利用してデバイスの位置を追跡し、リモートリセットを実行し、個人データが削除される結果となります。今回の攻撃はKONNI APT活動の後続行動として確認されており、この組織は北朝鮮政府が支援するKimsukyやAPT 37と密接に関連しています。セキュリティ専門家は、ユーザーにアカウントのセキュリティを強化し、二要素認証を有効にし、インスタントメッセージングツールを通じて受信したファイルに注意を払うように勧めています。

ChainCatcher のメッセージ、SlowMist の最高情報セキュリティ責任者 23pds がツイートしました。「疑わしい北朝鮮のハッカー組織 Kimsuky APT のメンバーが重大なデータ漏洩に遭遇し、数百 GB の内部ファイルとツールが漏洩しました。侵入はおそらく 2025 年 6 月初旬に発生し、この組織の複雑なバックドア、フィッシングフレームワーク、偵察活動が暴露されました。漏洩したファイルの分析によると、内部のダンプは『KIM』という偽名を持つ Kimsuky オペレーターの 2 つの侵害されたシステムに由来しています。1 つは Deepin 20.9 を実行している Linux 開発ワークステーションであり、もう 1 つはフィッシング攻撃のためのパブリック VPS です。」

ChainCatcher のメッセージによると、Finance Feeds が報じたところによれば、北朝鮮のハッカー組織 Lazarus Group は最近、攻撃対象を個人投資家にシフトし、5 月 24 日に悪意のあるソフトウェアを通じてある商人から 520 万ドル以上を盗みました。盗まれた資金は、取引所のウォレット、マルチシグウォレット、外部アカウントなど、複数のウォレットタイプに関与しています。ブロックチェーンアナリストの ZackXBT は、ハッカーがミキサー Tornado Cash を通じて約 1000 ETH を移転したことを追跡しました。セキュリティ専門家は、個人投資家に対して防護措置を講じることを推奨しています：ハードウェアウォレットを使用して大額の資産を保管する、二要素認証を有効にする、定期的にソフトウェアのパッチを更新する、疑わしいリンクに注意する、定期的に取引記録を確認する。この攻撃は、同組織が機関を対象とする戦略から個人投資家にシフトしたことを示しています。

ChainCatcher のメッセージによると、Bitcoin.com News が報じたところによれば、北朝鮮のハッカーグループ Lazarus Group は Bybit を攻撃した後、一部の盗難資産をビットコインに換金し始めた。データによると、このグループは現在 13562 BTC を保有しており、価値は約 11.4 億ドルである。これにより、北朝鮮のビットコイン保有量は増加し続けており、現在はエルサルバドル（6117 BTC）やブータン（10635 BTC）を超え、世界でビットコインを最も保有する政府機関の中で第3位となっている。アメリカ（198109 BTC）とイギリス（61245 BTC）に次ぐ。

ChainCatcher のメッセージによると、Decrypt の報道では、Socket 研究チームが新たな攻撃の中で、北朝鮮のハッカー組織 Lazarus が6つの新しい悪意のある npm ソフトウェアパッケージに関連していることを発見しました。これらのパッケージは、ユーザーの認証情報を盗むためのバックドアを展開しようとしています。さらに、これらのマルウェアは暗号通貨データを抽出し、Solana および Exodus 暗号ウォレット内の敏感な情報を盗むことができます。攻撃は主に Google Chrome、Brave、Firefox ブラウザのファイルおよび macOS のキーチェーンデータを対象としており、開発者が意図せずにこれらの悪意のあるパッケージをインストールするように仕向けています。今回発見された6つの悪意のあるソフトウェアパッケージは、is-buffer-validator、yoojae-validator、event-handle-package、array-empty-validator、react-event-dependency、auth-validator です。これらは「typosquatting」（スペルミスの名前を利用すること）を通じて開発者を騙してインストールさせます。APT 組織はそのうちの5つのパッケージのために GitHub リポジトリを作成し、合法的なオープンソースプロジェクトに偽装して、悪意のあるコードが開発者によって使用されるリスクを高めています。これらのパッケージは330回以上ダウンロードされています。現在、Socket チームはこれらのパッケージの削除を要求し、関連する GitHub リポジトリおよびユーザーアカウントを報告しました。Lazarus は悪名高い北朝鮮のハッカー組織であり、最近の14億ドルの Bybit ハッキング、4100万ドルの Stake ハッキング、2700万ドルの CoinEx ハッキング、そして暗号業界における無数の他の攻撃に関連しています。

ChainCatcher のメッセージによると、Safe は Mandiant（現在は Google Cloud に所属）との共同で行ったセキュリティ調査が重要な進展を遂げ、2 月 21 日の Bybit の盗難事件が北朝鮮のハッカー組織 TraderTraitor によるものであることを確認しました。この組織は以前にも暗号業界に対して攻撃を行ってきました。攻撃者は Safe{Wallet} の開発者のノートパソコンに侵入し、AWS セッショントークンをハイジャックして多要素認証の制御を回避しました。この開発者は、その職務を遂行するために高い権限を持つ数少ない人物の一人です。Safe は Web3 エコシステムに対して、ますます複雑化するセキュリティ脅威に共同で対処し、ユーザーの安全性を向上させるために取引検証ツールの最適化を強化するよう呼びかけています。公式は詳細な取引検証ガイドを発表し、潜在的なリスクを低減するためにユーザー体験のさらなる最適化を計画しています。

ChainCatcher のメッセージによると、ChatGPT の開発者である OpenAI は最近、北朝鮮のユーザーからのアカウントを禁止し、削除したと発表しました。これらのユーザーは、同社の技術を利用して、監視や世論操作を含む悪意のある活動を行っていると疑われています。OpenAI は報告書の中で、これらの活動が権威主義政権が AI 技術を利用してアメリカや自国の人民に対してコントロールを実施する方法である可能性があると指摘しました。同社はまた、これらの悪意のある操作を検出するために AI ツールを使用していると補足しました。OpenAI は禁止されたアカウントの具体的な数や関連する行動が発生した時間範囲については明らかにしていません。ある事例では、北朝鮮に関連する可能性のある悪意のある行為者が AI を使用して虚偽の求職者の履歴書やオンラインプロフィールを生成し、西洋企業の職に詐欺的に応募することを目的としています。さらに、カンボジアの金融詐欺に関連していると疑われる一群の ChatGPT アカウントが、OpenAI の技術を利用してソーシャルメディアや通信プラットフォーム（X や Facebook を含む）上のコメントを翻訳および生成しています。

ChainCatcher のメッセージによると、FBI の発表により、アメリカ連邦捜査局は安全公告（PSA）を発表し、北朝鮮のハッカー組織が Bybit 取引所から約 15 億ドルのデジタル資産を盗んだ事件に関与していることを確認しました。FBI は、ハッカー組織が迅速に行動し、一部の盗まれた資産をビットコインやその他のデジタル資産に変換し、複数のブロックチェーン上の数千のアドレスに分散させたと述べています。これらの資産はさらにマネーロンダリングされ、最終的には法定通貨に変換されると予想されています。

ChainCatcher のメッセージによると、Arkham の監視により、オンチェーン探偵の ZachXBT が北京時間の午前 3:09 に確固たる証拠を提出し、Bybit に対する攻撃が北朝鮮のハッカー組織 Lazarus Group によって実施されたことを確認しました。ZachXBT の分析報告には、攻撃前のテスト取引、関連ウォレットの分析、複数の証拠図表、タイムライン分析などの詳細情報が含まれています。この報告は Bybit チームに提出され、調査作業を支援しています。

ChainCatcher のメッセージによると、The Block の報道で、複数のブロックチェーンセキュリティ専門家が、北朝鮮のハッカー組織がシンガポールの暗号通貨取引所 Phemex の盗難事件の背後にいる可能性があると指摘しています。攻撃者は合計で 7000 万ドル以上の暗号資産を盗み、約 1600 万ドルの SOL、1200 万ドルの XRP、500 万ドルのビットコインを含んでいます。MetaMask のチーフセキュリティリサーチャー、テイラー・モナハンは、攻撃者が同時に複数のチェーンで大量の資産を盗み、高リスクの凍結されたステーブルコインを迅速に ETH に交換したと述べています。Phemex の CEO フェデリコ・ヴァリオラは、コールドウォレットの安全性を確認し、プラットフォームは被害者への補償計画を策定中であると述べています。

ChainCatcher のメッセージ、SlowMist の最高情報セキュリティ責任者 23pds がツイートで、ここ2ヶ月間、北朝鮮のハッカー組織が Hack VC、SevenX Ventures などの機関や個人を装って会議詐欺を行っていると述べており、リスクに注意してください。

ChainCatcher のメッセージによると、CoinDesk Japan の報道では、暗号取引所 DMM Bitcoin で発生した 4502.9 BTC の盗難事件について、日本の警察庁は 12 月 24 日に、この事件は北朝鮮に本拠を置くハッカー組織 Lazarus Group の Trader Traitor によるものであると発表しました。日本の警察庁は、北朝鮮のハッカーによる違法活動、ネットワーク犯罪、暗号資産の盗難事件を調査するために、引き続きアメリカ連邦捜査局や他のアメリカ政府機関、国際的なパートナーと協力していくと述べています。同時に、日本の警察庁、内閣サイバーセキュリティセンター、金融庁は、攻撃グループの手段と対策に関する文書を発表し、暗号資産関連企業に注意を呼びかけました。この攻撃事件に対処するために、DMM Bitcoin は取引所を閉鎖することを決定しました。資産と顧客アカウントは SBIVC Trade に移管される予定で、移行は 2025 年 3 月に完了する見込みです。

ChainCatcher のメッセージによると、深潮 TechFlow の報道で、多くの暗号業界の関係者が彼に対して、彼らの Twitter（X）および TG アカウントがハッキングされたと述べ、最終的にセキュリティ会社によって攻撃の出所が北朝鮮のハッカー組織 DangerousPassword に特定されたとのことです。アカウントが盗まれた暗号業者の一人は、フィッシングリンクをクリックしていないと述べており、現在、盗まれた具体的な理由は調査中です。注目すべきは、今回の犯行を行った北朝鮮のハッカーが中国語に精通しており、現在の暗号業界の流行トレンドや情報用語についても熟知していることです。

ChainCatcher のメッセージによると、Cointelegraph の報道で、アメリカ政府は 10 月 4 日に 2 件の法的訴訟を提起し、北朝鮮のハッカー組織 Lazarus Group が盗んだ 267 万ドル以上のデジタル資産の押収を開始しました。法的文書によると、アメリカ政府は約 170 万ドルの USDT を取り戻すことを求めており、この組織は 2022 年の Deribit ハッキング攻撃でオプション取引所から 2800 万ドルの資金を盗みました。ハッカーは Deribit のホットウォレットに成功裏に侵入し、資金を Tornado Cash ミキサーと複数のイーサリアムアドレスを通じて混合しました。アメリカの法執行官は、Lazarus Group が 2023 年に Stake.com ギャンブルプラットフォームをハッキングした後に盗まれた約 97 万ドルの Avalanche-bridged-Bitcoin (BTC.b) の回収も申請しました。この悪意のある攻撃は Stake に 4100 万ドル以上の損失をもたらしました。

ChainCatcher のメッセージによると、Cointelegraph が報じたところによれば、サイバーセキュリティの専門家は、悪名高い北朝鮮のハッカー組織「Lazarus Group」がアメリカのビットコイン ETF を新たな攻撃対象として狙っている可能性があると警告しています。Cyvers 社のGTM 戦略副社長 Michael Pearl は、潜在的な巨額のリターンのために、ハッカーがアメリカのビットコイン ETF に注意を向ける可能性があると述べています。Dune のデータによると、アメリカの ETF は現在、521 億ドル相当のビットコインを保有しており、これはハッカーにとって魅力的なターゲットです。Pearl は、ETF 提供者だけでなく、それに関連するすべての企業も攻撃のリスクにさらされる可能性があると警告しており、したがって ETF の脆弱性は迅速に解決する必要がある問題であり、さもなければ「スーパー ハッカー」事件が発生する可能性があるとしています。