北朝鮮のハッキング活動と軍事資金調達
北朝鮮は、Lazarusのような国家支援のハッキンググループに依存して軍事資金を調達しており、盗まれた暗号通貨は外国為替収入の約3分の1を占めています。これにより、従来の制裁に対して免疫のある安定した違法な現金流が提供されています。
暗号通貨の盗難とその影響
2024年1月から2025年9月の間に、北朝鮮の関係者は国家支援のハッキンググループやデジタル資産セクターを標的としたサイバーアクターを通じて、少なくとも28億ドルに上る暗号通貨の盗難を orchestrated しました。大部分は、2025年2月のBybitの侵害などの主要な事件から生じており、これだけで総額の約半分を占めています。
この報告書は、これらの侵害が、洗練されたサプライチェーン、ソーシャルエンジニアリング、ウォレットの妥協手法を使用する北朝鮮の脅威アクターによるものであるとしています。
国家支援のハッカーグループのエコシステム
北朝鮮の暗号通貨の運用は、Lazarus、Kimsuky、TraderTraitor、Andarielなどの国家に関連するハッカーグループの厳密なエコシステムを中心に展開されており、過去2年間のほぼすべての主要なデジタル資産の侵害にその足跡が見られます。
サイバーセキュリティの専門家によると、これらのチームは、平壌の主要な情報機関である偵察総局の下で活動しており、民間部門の効率を模倣した攻撃を調整しています。
攻撃手法とマネーロンダリングプロセス
彼らの主な革新は、取引所を完全にバイパスし、代わりに取引所が安全な保管のために使用する第三者のデジタル資産保管プロバイダーを標的にすることです。Safe(Wallet)、Ginco、Liminal Custodyなどの企業のインフラを妥協することで、北朝鮮のアクターはBybit、日本のDMM Bitcoin、インドのWazirXを含むクライアントから資金を盗むためのマスターキーを手に入れました。
DMM Bitcoinへの攻撃は、3億800万ドルの損失と取引所の最終的な閉鎖を引き起こしましたが、これは数ヶ月前にTraderTraitorのアクターがLinkedInでリクルーターを装い、Gincoの従業員を悪意のあるファイルを開かせることで始まりました。
他の国家支援グループとの連携
他の国家支援のグループもこの主要な取り組みと連携して活動しています。CryptoCoreコレクティブは、より洗練されてはいませんが、高ボリュームのソーシャルエンジニアリングを行い、リクルーターやビジネスエグゼクティブを装ってターゲットに侵入します。一方、Citrine Sleetは、トロイの木馬化された暗号通貨取引ソフトウェアを展開することで評判を得ています。
2024年10月の詳細な事件では、Citrine SleetのアクターがTelegramで信頼できる元請負業者を装い、Radiant Capitalの開発者に悪意のあるZIPファイルを送り、5000万ドルの盗難を引き起こしました。
マネーロンダリングとその影響
一度盗まれると、デジタル資産はその起源を隠し、使用可能な法定通貨に変換するために設計された複雑な9段階のマネーロンダリングプロセスに入ります。DPRKのサイバーアクターは、盗まれたトークンをEthereumやBitcoinなどの確立された暗号通貨に体系的に交換し、その後、Tornado CashやWasabi Walletなどのミキシングサービスのスイートを利用します。
彼らは次に、THORChainやLI.FIなどのクロスチェーンブリッジやアグリゲーターを利用してブロックチェーン間を移動し、しばしば混合された資産をTronベースのUSDTに変換して現金化の準備をします。
結論
このデジタル盗難の relentless campaign は、直接的かつ深刻な現実の結果をもたらします。暗号エコシステムから siphoned された数十億ドルは、官僚的な空虚に消え去ることはありません。MSMTの報告書は、この収入源がDPRKの違法な大量破壊兵器および弾道ミサイルプログラムのための材料や装備を調達するために重要であると結論付けています。
従来の金融制裁に対して免疫のある大規模な違法現金流を提供することにより、世界の暗号通貨産業は武器化され、平壌の軍事的野望の無規制で不本意な資金提供者となっています。これらのハイストは単なる利益の犯罪ではなく、世界の安全を脅かす軍事増強を資金提供する国家政策の行為です。
