あなたが出会う高ネットワークの顧客は、北朝鮮のハッカーの「傭兵」かもしれません。

原文作者：Nicky，Foresight News

最近、Drift Protocolは攻撃事件の最新調査結果を発表し、この行動が2024年10月のRadiant Capitalハッカー事件と同じ脅威行為者によって実施されたことを指摘しました。チェーン上の資金の流れと操作手法は高度に一致しています。セキュリティ会社Mandiantは、Radiant Capitalの攻撃をUNC4736に帰属させており、これは北朝鮮政府に関連する組織です。

Drift攻撃事件の発生後、ハッカーは合計130,293枚のETHを保有しており、これは約2.66億ドルの価値があります。この事件は20のプロトコルに影響を及ぼし、Prime Numbers Fi、Gauntlet、Elemental DeFi、Project 0などが含まれています。その中で、Prime Numbers Fiは1000万ドル以上の損失を見込んでおり、Gauntletは約640万ドル、Neutral Tradeは約367万ドル、Elemental DeFiは約290万ドルの損失を見込んでおり、ElementalはDriftから一部の補償を得ることを希望しています。

Driftは声明の中で、この攻撃が6ヶ月間の綿密な計画によるものであり、2025年秋に自称量子取引会社のグループが大規模な暗号会議でDriftの貢献者に接近したと述べています。筆者は、時間に基づいて整理したところ、この期間中の大規模な暗号会議にはKorea Blockchain Week 2025（2025年9月22日から28日、開催地：ソウル）、TOKEN2049 Singapore（10月1日から2日、開催地：シンガポール）、Binance Blockchain Week Dubai 2025（10月30日から31日、開催地：ドバイ）、Solana Breakpoint Dubai（11月20日から21日、開催地：ドバイ）などがあります。

Driftの公式は、彼らが技術に精通しており、検証可能な職業背景を持ち、Driftの運営方法に非常に精通していると述べています。双方はTelegramグループを設立し、その後数ヶ月にわたり取引戦略や金庫の統合について実質的な対話を展開しました。

2025年12月から2026年1月にかけて、このグループはDriftに正式にエコシステム金庫を設立し、要求に応じて戦略の詳細を記入しました。彼らは複数の貢献者と何度も作業討論を行い、詳細な製品問題を提起し、100万ドル以上の自己資金を預け入れました。彼らは忍耐強く秩序ある操作を通じて、Driftエコシステム内に完全な機能を持つビジネスの存在を確立しました。

統合の議論は今年の3月まで続きました。Driftの複数の貢献者は、国際会議で再度これらの人々と対面しました。この時点で双方は約半年の協力関係を築いており、相手はもはや見知らぬ人ではなく、一緒に働いたパートナーでした。その間、相手は彼らが構築していると主張するプロジェクト、ツール、アプリケーションのリンクを共有しました。これは取引会社の間では一般的な慣行です。

4月2日の攻撃後、調査員は既知の影響を受けたデバイス、アカウント、通信記録に対して全面的な証拠調査を行い、その取引チームとの相互作用が最も可能性の高い侵入経路となりました。攻撃が発生した際、相手のTelegramチャット記録とマルウェアは完全に削除されました。

調査によると、攻撃者は3つの方法でDriftの貢献者のデバイスに侵入した可能性があります。ある貢献者は、チームが共有したコードリポジトリをクローンした後に侵入された可能性があり、そのリポジトリは金庫を展開するためのフロントとして偽装されていました。別の貢献者は、相手がそのウォレット製品であると主張するTestFlightアプリをダウンロードするよう誘導されました。コードリポジトリへの侵入経路について、セキュリティコミュニティは2025年12月から2026年2月の間にVSCodeとCursorに既知の脆弱性があると何度も警告しており、エディタ内でファイル、フォルダ、またはリポジトリを開くだけで、ユーザーのクリックやいかなる提示なしに任意のコードを静かに実行できることが分かっています。影響を受けたハードウェアの完全な証拠分析はまだ進行中です。

この行動は2024年10月のRadiant Capitalハッカー事件の脅威行為者と同じです。MandiantはRadiant攻撃をUNC4736に帰属させており、これは北朝鮮国家が支援する組織で、AppleJeusまたはCitrine Sleetとも呼ばれています。帰属の根拠は2つの側面から来ています：チェーン上の資金の流れは、この操作の計画とテストに使用された資金がRadiant攻撃者に遡ることを示しています；操作の面では、今回の行動で使用された偽装された身分は、既知の北朝鮮関連活動と識別可能な重複があります。

Driftは、実際にオフライン会議に出席した個人は北朝鮮国籍ではないと指摘しています。このような高レベルの北朝鮮の脅威行為者は通常、第三者の仲介者を通じて対面での関係構築を行います。

UNC4736はMandiantが追跡している脅威行為者のクラスターであり、高い信頼度で北朝鮮の諜報総局に属すると評価されています。この組織は2018年から暗号通貨とフィンテック業界をターゲットにし、サプライチェーン攻撃、ソーシャルエンジニアリング、マルウェア配信などの方法でデジタル資産を盗んでいます。

彼らの知られている大規模な攻撃事件には、2023年の3CXサプライチェーン攻撃、2024年のRadiant Capitalからの約5000万ドルの盗難、そして今回のDriftからの約2.85億ドルの盗難が含まれます。統計データに基づくと、この組織は合計で約3.35億ドルを盗んでいます。

このクラスターは、財務的動機に特化したネットワーク犯罪のサブクラスターであるLazarus Groupの一部と広く見なされています。Lazarus Groupは2025年2月にBybitから約15億ドルの資産を盗み、暗号通貨史上最大の単一盗難事件となりました。

図源：SotaMedia

Lazarus Groupは北朝鮮政府が支援するネットワーク脅威行為者のクラスターであり、諜報総局に属し、UNC4736（すなわちAppleJeus/Citrine Sleet）、TraderTraitorなどの複数のサブクラスターを含んでいます。Chainalysisの統計によると、北朝鮮のハッカーはLazarusなどのクラスターを通じて合計で約67.5億ドルの暗号通貨を盗んでおり、2025年だけで20億ドルを超えています。

この組織は、2014年のソニー・ピクチャーズの破壊、2016年のバングラデシュ中央銀行からの8100万ドルの盗難、2017年のWannaCryランサムウェアの世界的流行、2022年のRonin BridgeとHarmony Horizon Bridgeからそれぞれ6.2億ドルと1億ドルの盗難、2023年のAtomic WalletとStakeの攻撃など、世界的に注目を集める攻撃事件を多数引き起こしています。2024年10月、UNC4736はRadiant Capitalを攻撃し5000万ドルを盗み、2025年2月にはTraderTraitorがBybitから記録的な15億ドルを盗み、2026年4月にはDrift Protocolに対して2.85億ドルの攻撃を完了しました。

Lazarusは北朝鮮の暗号盗難額を67.5億ドルにまで押し上げました。攻撃手法は初期の破壊から長期的な浸透、ソーシャルエンジニアリング、サプライチェーン攻撃、悪意のあるスマートコントラクト/マルチシグ浸透などに移行しています。

Driftは声明の中で、調査が示すところによれば、第三者の定向行動で使用された身分は完全な個人および職業履歴を持ち、職務経験、公開資格、専門ネットワークが含まれていると述べています。Driftの貢献者がオフラインで見た人々は、商業的な協力背景の審査に耐えうる身分のプロフィールを構築するために数ヶ月を費やしました。

セキュリティ研究者のTaylor Monahanは以前、北朝鮮のIT作業者が少なくとも7年間にわたり暗号通貨会社やDeFiプロジェクトに浸透しており、40以上のDeFiプラットフォームが異なる段階で北朝鮮のIT作業者の関与を受けていると述べました。Drift事件は、攻撃者がリモートの求職から対面での数ヶ月にわたる定向情報行動に進化したことをさらに示しています。

Driftは今後も法執行機関、証拠収集パートナー、エコシステムチームと協力し続けると述べており、調査が完了した後に詳細を発表する予定です。すべての残りのプロトコル機能は凍結され、盗まれたウォレットはマルチシグから削除され、攻撃者のアドレスは各取引所およびクロスチェーンブリッジの運営者によってマークされています。