ZachXBT：リバースハッキングした北朝鮮のハッカーのデバイスの後、私は彼らの「仕事」パターンを理解しました

著者: ZachXBT

翻訳：Azuma、プラネットデイリ

編者按：北朝鮮のハッカーは暗号通貨市場にとって大きな脅威であり続けています。過去には、被害者や業界のセキュリティ専門家は、毎回関連するセキュリティ事件を逆推測することで北朝鮮ハッカーの行動パターンを推測するしかありませんでしたが、昨日、有名なブロックチェーン探偵ZachXBTが最新のツイートであるホワイトハットハッカーが北朝鮮ハッカーを逆にハッキングした調査分析を引用し、初めて積極的な視点から北朝鮮ハッカーの「仕事」の方法を暴露しました。これは業界プロジェクトの事前のセキュリティ対策に一定の積極的な意義をもたらすかもしれません。

以下は、Odailyによって編集されたZachXBTの全文です。

ある名前を明かしたくない匿名のハッカーが最近、ある北朝鮮のIT作業員のデバイスに侵入し、5人の技術チームが30以上の偽の身分を操作して活動する内幕を暴露しました。このチームは政府が発行した偽の身分証明書を持っているだけでなく、UpworkやLinkedInのアカウントを購入することでさまざまな開発プロジェクトに浸透しています。

!

!

調査員はその Google ドライブのデータ、Chrome ブラウザのプロファイル、デバイスのスクリーンショットを取得しました。データは、そのチームが Google シリーズのツールを使用して作業スケジュール、タスクの割り当て、予算管理を調整していることに大きく依存していることを示しており、すべてのコミュニケーションは英語で行われています。

!

2025年内の週報ファイルは、そのハッカーグループの作業スタイルや、その間に遭遇した困難を明らかにしました。例えば、メンバーの一人が「作業要求を理解できず、何をすればよいかわからない」と不満を漏らしましたが、対応策の欄には「心を込めて、倍の努力をする」と記入されていました……

!

!

支出明細記録には、社会保障番号（SSN）の購入、Upwork、LinkedInアカウントの取引、電話番号のレンタル、AIサービスのサブスクリプション、コンピュータのレンタル、VPN / プロキシサービスの調達などが含まれています。

!

そのうちの1つの電子スプレッドシートには、偽名「Henry Zhang」を使用して会議に参加するためのスケジュールとスクリプトが詳細に記録されています。操作手順によれば、これらの北朝鮮のIT労働者は最初にUpworkとLinkedInのアカウントを購入し、コンピュータ機器をレンタルし、その後AnyDeskリモートコントロールツールを使用してアウトソーシング作業を完了させます。

!

!

彼らが送受金のために使用しているウォレットアドレスの一つは：

0x78e1a4781d184e7ce6a124dd96e765e2bea96f2c;

!

!

このアドレスは、2025年6月に発生した68万ドルのFavrrプロトコル攻撃事件と密接なオンチェーンの関連があり、その後、CTOや他の開発者が偽造文書を持つ北朝鮮のIT労働者であることが確認されました。このアドレスを通じて、他の浸透プロジェクトの北朝鮮のIT人員も特定されました。

!

チームの検索履歴とブラウザ履歴には、以下の重要な証拠も発見されました。

! !

「彼らが北朝鮮から来ていることをどう確認するか？」と尋ねる人もいるかもしれません。上記で詳述したすべての詐欺的な書類に加えて、彼らの検索履歴は、彼らが頻繁にGoogle翻訳を使用し、ロシアのIPを使用して韓国語に翻訳していることを示しています。

!

!

現在、企業が北朝鮮のIT労働者に対抗するための主要な課題は以下の点に集中しています：

• システム的な協力の欠如：プラットフォームサービスプロバイダーと民間企業の間に効果的な情報共有と協力メカニズムが欠けている；
• 雇用者の失態：人材チームはリスク警告を受けた後、しばしば防御的な態度を示し、調査への協力を拒否することさえあります；
• 数量の優位性が影響：その技術的手段はそれほど複雑ではありませんが、膨大な求職者の基盤を活用して、世界の雇用市場に継続的に浸透しています；
• 資金変換チャネル：Payoneerなどの支払いプラットフォームは、開発作業から得た法定通貨の収入を暗号通貨に交換するために頻繁に使用されています；

私は何度も注意すべき指標について紹介してきました。興味がある方は私の過去のツイートを参照してください。ここでは繰り返し詳述することはありません。