ブロックチェーン調査員のZachXBTは8日、匿名の情報源から提供された北朝鮮の内部決済サーバーの流出データを分析した結果をXで公開した。
390件のアカウント、チャットログ、仮想通貨取引記録が含まれており、偽造身元・偽造書類・仮想通貨の法定通貨への換金を組み合わせた月額約100万ドル(約1億5,800万円、1ドル=約158円換算)規模の不正スキームの全容が明らかになった。
データは情報搾取型マルウェア(インフォスティーラー)によって侵害された北朝鮮ITワーカーのデバイスから取得されたものだ。内部メッセージングツールIPMsgのチャットログや偽造身元情報、ブラウザ履歴が含まれており、これらを起点に内部決済プラットフォーム「luckyguys[.]site」の存在が判明した。
少なくとも10ユーザーがデフォルトパスワード「123456」のまま運用しており、ユーザー一覧には朝鮮語の氏名・都市名・グループ識別コードが記録されていた。 データ上に現れた「Sobaeksu」「Saenal」「Songkwang」の3社は、現在いずれもOFAC(米国財務省外国資産管理局)の制裁対象となっている。
資金フローの面では、2025年11月下旬以降に追跡対象のウォレットアドレスを通じて350万ドル超の仮想通貨が処理されたことが確認された。ワーカーらは取引所や各種サービスから仮想通貨を送金し、銀行口座やPayoneerなどを通じて法定通貨に換金するパターンを繰り返していた。
中央管理アカウント「PC-1234」が入金を確認し、各取引所やフィンテックプラットフォームのアカウント情報をワーカーに配布する仕組みだ。なお、トロン(Tron)アドレスはテザー(Tether)によって2025年12月に凍結されている。
技術面では、管理者が2025年11月から2026年2月にかけてHex-RaysおよびIDA Proのサイバーセキュリティ訓練モジュール43件をグループに配布していたことも判明した。逆アセンブル、逆コンパイル、デバッグなどを扱う内容で、単純な資金詐取を超えたサイバー攻撃能力の育成が示唆されている。
ZachXBTは、このグループがラザルスグループ(Lazarus Group)などより高度な集団と比較すると技術水準は低いと評価している。
背景として、2025年に北朝鮮関連グループが仮想通貨から窃取した総額は少なくとも20億2000万ドルに上るとChainalysisが報告しており、世界全体の仮想通貨窃取額の約60%を占める。
