あなたが会議で出会う高資産顧客は、北朝鮮ハッカーの「傭兵」かもしれない

原文著者：Nicky，Foresight News

このほど、Drift Protocolは攻撃事件に関する最新の調査結果を発表し、今回の行動は2024年10月のRadiant Capitalハッキング事件と同じ脅威行為者によって実施されたものであり、オンチェーン資金の流れと操作手法が高度に一致していると指摘した。セキュリティ企業Mandiantは以前、Radiant Capitalへの攻撃を北朝鮮政府に関連する組織UNC4736の仕業と断定していた。

Drift攻撃事件発生後、ハッカーは累計130,293 ETH（約2億6600万米ドル相当）を保有している。事件の影響は20のプロトコルに及び、その中にはPrime Numbers Fi、Gauntlet、Elemental DeFi、Project 0などが含まれる。Prime Numbers Fiの推定損失額は1000万米ドル超、Gauntletは約640万米ドル、Neutral Tradeは約367万米ドル、Elemental DeFiは約290万米ドルに上り、ElementalはDriftから一部の補償を得られることを望んでいると表明している。

Driftは声明の中で、この攻撃は6ヶ月間にわたる綿密な計画であったと述べている。2025年秋、自称定量取引会社のグループが大規模な暗号通貨カンファレンスでDriftの貢献者に接触した。筆者が時期を整理したところ、この期間内の大規模な暗号通貨カンファレンスには、Korea Blockchain Week 2025（2025年9月22日～28日、ソウル開催）、TOKEN2049 Singapore（10月1日～2日、シンガポール開催）、Binance Blockchain Week Dubai 2025（10月30日～31日、ドバイ開催）、Solana Breakpoint Dubai（11月20日～21日、ドバイ開催）などがあった。

Drift公式によると、彼らは技術に熟達しており、検証可能な職業経歴を持ち、Driftの運営方法にも精通していた。双方はTelegramグループを設立し、その後数ヶ月にわたり取引戦略とトレジャリー統合をめぐって実質的な対話を展開した。

2025年12月から2026年1月にかけて、このグループはDrift上で正式にエコシステムトレジャリーを開設し、要求に応じて戦略詳細フォームを記入した。彼らは複数の貢献者と数回にわたる作業協議を行い、詳細な製品に関する質問を提出し、100万米ドル超の自己資金を預入れた。忍耐強く秩序ある操作を通じて、彼らはDriftエコシステム内部に機能的なビジネス拠点を確立した。

統合に関する議論は今年3月まで続いた。Driftの複数の貢献者は、複数の国際会議で再びこの人々と直接対面した。この時点で双方は約半年間の協力関係を築いており、相手はもはや見知らぬ人ではなく、共に仕事をしたパートナーとなっていた。その間、相手は彼らが構築中と主張するプロジェクト、ツール、アプリケーションのリンクを共有したが、これは取引会社では一般的な慣行である。

4月2日の攻撃発生後、調査員は既知の影響を受けたデバイス、アカウント、通信記録に対して包括的なフォレンジックレビューを実施し、この取引チームとのやり取りが最も可能性の高い侵入経路であると結論付けた。攻撃発生と同時に、相手側のTelegramチャット記録とマルウェアは完全に消去されていた。

調査によると、攻撃者は3つの方法でDrift貢献者のデバイスに侵入した可能性がある。1人の貢献者は、このチームが共有したコードリポジトリをクローンした後に侵害された可能性があり、このリポジトリは彼らのトレジャリーをデプロイするフロントエンドとして偽装されていた。別の貢献者は、相手が自身のウォレット製品と主張するTestFlightアプリをダウンロードするよう誘導された。コードリポジトリを介した侵入経路については、セキュリティコミュニティが2025年12月から2026年2月にかけて、VSCodeとCursorに既知の脆弱性が存在し、エディタでファイル、フォルダ、またはリポジトリを開くだけで、ユーザーのクリックや警告なしに任意のコードを静的に実行できると繰り返し警告していた。影響を受けたハードウェアの完全なフォレンジック分析は現在も進行中である。

今回の行動は、2024年10月のRadiant Capitalハッキング事件の脅威行為者と同じである。MandiantはRadiantへの攻撃をUNC4736に帰属させており、これは北朝鮮国家が支援する組織で、AppleJeusまたはCitrine Sleetとも呼ばれている。帰属の根拠は2つの側面から得られている：オンチェーン資金の流れは、今回の作戦の計画とテストに使用された資金がRadiant攻撃者に遡及可能であることを示している；作戦レベルでは、今回の行動で使用された偽装IDが、既知の北朝鮮関連活動と識別可能な重複を示している。

Driftは、実際にオフライン会議に現れた個人は北朝鮮籍ではないと指摘している。この種の高度な北朝鮮脅威行為者は通常、第三者の仲介者を通じて対面での関係構築を行う。

UNC4736はMandiantが追跡する脅威行為者クラスターであり、北朝鮮偵察総局に所属しているという高い信頼度の評価がなされている。この組織は2018年以降、暗号通貨およびフィンテック業界を継続的に標的としており、サプライチェーン攻撃、ソーシャルエンジニアリング、マルウェア配信などの方法でデジタル資産を窃取している。

その既知の大規模攻撃事件には、2023年3CXサプライチェーン攻撃、2024年Radiant Capital約5000万米ドル窃盗、そして今回のDrift約2億8500万米ドル窃盗が含まれ、統計可能なデータに基づくと、この組織は合計約3億3500万米ドルの資金を盗んだ計算となる。

このクラスターは、財務動機に特化したサイバー犯罪に焦点を当てたLazarus Groupのサブクラスターであると広く認識されている。Lazarus Groupは2025年2月、Bybitから約15億米ドルの資産を盗み、暗号通貨史上最大の単一窃盗事件を引き起こした。

画像出典：SotaMedia

Lazarus Groupは北朝鮮政府が支援するネットワーク脅威行為者クラスターであり、偵察総局に所属し、UNC4736（すなわちAppleJeus/Citrine Sleet）、TraderTraitorなどの複数のサブクラスターを含む。Chainalysisの統計によると、北朝鮮のハッカーはLazarusなどのクラスターを通じて累計約67.5億米ドルの暗号通貨を窃取しており、2025年だけで20億米ドルを超えている。

この組織は世界的に大きな衝撃を与えた複数の攻撃事件を引き起こしている：2014年ソニー・ピクチャーズ・エンタテインメントへの破壊工作、2016年バングラデシュ中央銀行8100万米ドル窃盗、2017年WannaCryランサムウェアの世界的蔓延、2022年Ronin BridgeとHarmony Horizon Bridgeのそれぞれ6億2000万米ドルおよび1億米ドル窃盗、2023年Atomic WalletとStakeへの相次ぐ攻撃。2024年10月、UNC4736がRadiant Capitalを攻撃し5000万米ドルを窃取；2025年2月、TraderTraitorがBybitから記録的な15億米ドルを盗み出し；2026年4月、Drift Protocolへの2億8500万米ドル攻撃を完了した。

Lazarusは北朝鮮による暗号通貨窃取総額を67.5億米ドルに押し上げた。攻撃手法は初期の破壊活動から、長期浸透、ソーシャルエンジニアリング、サプライチェーン攻撃、悪意のあるスマートコントラクト/マルチシグ浸透などへと進化している。

Driftの声明には、調査によると、第三者の標的型作戦で使用されたIDは、職務経歴、公開資格、専門家ネットワークを含む完全な個人および職業履歴を有していたと記されている。Drift貢献者がオフラインで会った人々は、数ヶ月をかけてビジネス協力の背景調査に耐えられるIDプロファイルを構築した。

セキュリティ研究者Taylor Monahanは以前、北朝鮮のIT労働者が少なくとも7年間にわたり暗号通貨企業とDeFiプロジェクトに浸透しており、40以上のDeFiプラットフォームが様々な段階で北朝鮮のIT労働者の関与があったと述べていた。Drift事件はさらに、攻撃者がリモートでの求職浸透から、オフラインでの対面、数ヶ月にわたる標的型情報作戦へと進化したことを示している。

Driftは、法執行機関、フォレンジックパートナー、エコシステムチームとの協力を継続し、詳細は調査完了後に公表されると述べている。残りのすべてのプロトコル機能は凍結され、被害を受けたウォレットはマルチシグから削除され、攻撃者のアドレスは各取引所およびクロスチェーンブリッジオペレーターでフラグ付けされている。