北朝鮮ITワーカーの内部決済サーバーが流出、月100万ドル規模の不正スキームが判明＝ZachXBT

390件の口座・チャットログを分析

ブロックチェーン調査員のZachXBTは8日、匿名の情報源から提供された北朝鮮の内部決済サーバーの流出データを分析した結果をXで公開した。

390件のアカウント、チャットログ、仮想通貨取引記録が含まれており、偽造身元・偽造書類・仮想通貨の法定通貨への換金を組み合わせた月額約100万ドル（約1億5,800万円、1ドル＝約158円換算）規模の不正スキームの全容が明らかになった。

データは情報搾取型マルウェア（インフォスティーラー）によって侵害された北朝鮮ITワーカーのデバイスから取得されたものだ。内部メッセージングツールIPMsgのチャットログや偽造身元情報、ブラウザ履歴が含まれており、これらを起点に内部決済プラットフォーム「luckyguys[.]site」の存在が判明した。

少なくとも10ユーザーがデフォルトパスワード「123456」のまま運用しており、ユーザー一覧には朝鮮語の氏名・都市名・グループ識別コードが記録されていた。 データ上に現れた「Sobaeksu」「Saenal」「Songkwang」の3社は、現在いずれもOFAC（米国財務省外国資産管理局）の制裁対象となっている。

資金フローの面では、2025年11月下旬以降に追跡対象のウォレットアドレスを通じて350万ドル超の仮想通貨が処理されたことが確認された。ワーカーらは取引所や各種サービスから仮想通貨を送金し、銀行口座やPayoneerなどを通じて法定通貨に換金するパターンを繰り返していた。

中央管理アカウント「PC-1234」が入金を確認し、各取引所やフィンテックプラットフォームのアカウント情報をワーカーに配布する仕組みだ。なお、トロン（Tron）アドレスはテザー（Tether）によって2025年12月に凍結されている。

技術面では、管理者が2025年11月から2026年2月にかけてHex-RaysおよびIDA Proのサイバーセキュリティ訓練モジュール43件をグループに配布していたことも判明した。逆アセンブル、逆コンパイル、デバッグなどを扱う内容で、単純な資金詐取を超えたサイバー攻撃能力の育成が示唆されている。

ZachXBTは、このグループがラザルスグループ（Lazarus Group）などより高度な集団と比較すると技術水準は低いと評価している。

背景として、2025年に北朝鮮関連グループが仮想通貨から窃取した総額は少なくとも20億2000万ドルに上るとChainalysisが報告しており、世界全体の仮想通貨窃取額の約60%を占める。