北朝鮮のハッキング活動は、世界中のプラットフォームで30以上の偽の身分をどのように維持しているのか

最近の調査により、侵害された北朝鮮IT労働者のデバイスから、詐欺的なオンラインペルソナの広範なネットワークを管理する洗練された5人の技術チームの運用設計図が明らかになった。この情報は、著名なオンチェーン探偵ZachXBTによって共有され、これらの行為者がどのように体系的に暗号通貨開発プロジェクトやグローバルなテック企業に侵入しているのかについて、前例のない洞察を提供している。

大規模な身分詐欺の背後にあるインフラ

このチームの運用モデルは、既存のアカウントを購入し、リモートアクセスツールを展開することに依存している。彼らの取得戦略には、UpworkやLinkedInのプロフィールを買収し、偽の社会保障番号(SSNs)を取得し、電話番号やコンピュータ機器をレンタルすることが含まれる。装備が整うと、AnyDeskリモートデスクトップソフトウェアを利用して、複数のプラットフォームで同時にアウトソーシングされた開発作業を完了させる。

彼らのシステムから回収された費用記録は、洗練されたサプライチェーンを示している。Payoneerのような暗号通貨支払い処理業者は、法定通貨の収益をデジタル資産に変換し、AIサービスやリバースVPN/プロキシサービスのサブスクリプションは、実際の地理的位置や運用の痕跡を隠すために利用されている。この層状のアプローチにより、何度も露見の試みがあっても、彼らはグローバルな労働市場への持続的なアクセスを維持できている。

運用ワークフローと内部課題

GoogleドライブのドキュメントやChromeブラウザのプロフィールから明らかになった内部ワークフローは、驚くほど平凡に見える。週次のパフォーマンスレポートには、タスクの割り当て、予算配分、トラブルシューティングのメモが記されている。一つの記録には、チームメンバーの苛立ちが記されている：「仕事の要件が理解できず、何をすればいいかわからない」とのことで、監督者の対応は単に「自分に専念し、もっと努力しろ」と述べている。

詳細なスケジュールは、「Henry Zhang」のような架空の身分が、スクリプト化された会議プロトコルとともに複数のプロジェクトに展開されている様子を示している。この規律正しさは、地理的に散らばっているにもかかわらず、中央集権的な管理を示唆しており、最終的に彼らの発見につながった重要な脆弱性となった。

金融の追跡と身分確認

2025年6月にFavrrプロトコルへの680,000ドルの攻撃に関連付けられた(0x78e1a4781d184e7ce6a124dd96e765e2bea96f2c)という主要なウォレットアドレスは、最初の大きな突破口となった。この攻撃の被害者であるCTOや開発者は、その後、偽造された資格情報の下で活動する北朝鮮のIT労働者であることが確認された。このアドレスは、業界内の複数の侵入事件とチームを結びつける重要な識別子となった。

言語的証拠も同様に決定的だった。検索履歴からは、Google翻訳を頻繁に利用し、韓国語の翻訳をロシアのIPアドレスを通じて処理していることが明らかになった。これは、主張される労働者の所在地と一致しない逆ジオIPパターンであった。

企業防衛における新たな課題

この調査は、現行のセキュリティアーキテクチャにおける体系的な脆弱性を浮き彫りにしている。

プラットフォーム間の連携不足：サービス提供者や民間企業は、正式な情報共有メカニズムを欠いており、同じ詐欺的な身分が複数のプラットフォームを循環して検知されずに利用されている。

受動的な採用手法：ターゲットとなる企業は、リスク警告を提示されると防御的になり、運用の継続性を優先し、セキュリティ調査への協力を後回しにしがちである。

数値的な規模の優位性：個々の技術的洗練度は中程度にとどまるものの、膨大な人材プールを活用した侵入試行の数は、従来のスクリーニングプロセスを圧倒している。

暗号通貨支払いの変換：法定通貨をデジタル資産に変換する容易さは、従来の銀行の摩擦を排除し、外国のオペレーターを捕捉してきた。

これらの運用上の脆弱性は、高度な技術や巧妙な戦術によるものではなく、検知には積極的なクロスプラットフォームの協力が必要であり、それが現状の暗号通貨やテック業界では規模の面で欠如しているために持続している。