詐欺の内幕：北朝鮮のIT労働者の脅威

Executive Summary

リモートワークが常態化した時代において、北朝鮮は雇用プロセスを操作する機会を捉え、不正な情報技術（IT）雇用を利用して政権の収入を得ています。北朝鮮のIT労働者は国際企業に潜入し、偽の身元を使ってリモートポジションを確保しています。これらの工作員は国際的な制裁に違反するだけでなく、深刻なサイバーセキュリティの脅威をもたらし、詐欺やデータ盗難に関与し、事業運営を混乱させる可能性があります。

金融詐欺を超えて、これらのIT労働者はサイバースパイ活動にも関与しているとされています。Insikt Groupは、主に暗号通貨業界のソフトウェア開発者を標的とする「Contagious Interview」キャンペーンと重複する、北朝鮮に関連するクラスターPurpleBravo（旧Threat Activity Group 120 [TAG-120]）を追跡しています。このキャンペーンでは、BeaverTailのような機密情報を収集するインフォスティーラー、InvisibleFerretのようなクロスプラットフォームのPythonバックドア、そしてOtterCookieのような侵害されたシステムに永続的なアクセスを確立するためのツールなどのマルウェアが使用されています。2024年10月から11月にかけて、より広範な暗号通貨分野で、マーケットメイキング会社、オンラインカジノ、ソフトウェア開発会社の少なくとも3つの組織がPurpleBravoの標的となりました。

調査結果はまた、合法的なIT企業を模倣したフロント企業の設立など、北朝鮮が他の詐欺分野に拡大していることも浮き彫りにしています。TAG-121は、中国全土でこれらの企業のネットワークを運営している別の活動クラスターとして特定されました。各フロント企業は、異なる正当な組織のウェブサイトの大部分をコピーして、その組織になりすましています。これらの組織は、否認可能性の層を追加し、検出をより困難にします。これにより、北朝鮮のアクターはグローバルなITサプライチェーンにさらに深く入り込むことができます。

この脅威の影響は広範囲に及んでいます。知らずのうちに北朝鮮のIT労働者を雇用する組織は、国際的な制裁に違反し、法的および財政的な影響にさらされる可能性があります。さらに重要なことに、これらの労働者は、ほぼ確実に内部脅威として行動し、専有情報を盗んだり、バックドアを仕込んだり、より大規模なサイバー作戦を支援したりします。北朝鮮の金融窃盗の歴史を考慮すると、リスクは個々の企業にとどまらず、より広範な世界の金融システムや国家安全保障上の利益にまで及びます。

これらの脅威を軽減するために、組織は厳格な本人確認措置を採用し、リモート採用者が徹底的な審査を受けることを確実にしなければなりません。これには、ビデオ面接、公証済みの身分証明書、リモートワーカーの異常を監視するための継続的なモニタリングが含まれます。また、雇用主は、不正アクセスを検出し、データの露出を制限し、不審なリモート接続を特定するための技術的な管理策を実施する必要があります。これらの攻撃者が重要な業務に侵入するのを防ぐには、人事 (HR) チームと IT セキュリティ担当者の意識向上とトレーニングが不可欠です。

北朝鮮のIT労働者がもたらす脅威は詐欺の問題であると同時に、国際制裁対象の体制を財政的に支える高度なサイバー戦略の重要な構成要素でもあります。こうした活動が進化し続ける中、企業、政府、サイバーセキュリティ組織は協力して、北朝鮮がリモートワーク環境を悪用することを可能にするギャップを埋める必要があります。

主な調査結果

• 北朝鮮がIT労働者を利用して不正な雇用を確保し、組織的なサイバーキャンペーンを実施していることは、軍事プログラムに資金を提供する一方で、世界の知的財産のセキュリティを損なうという戦術の進化を浮き彫りにしています。
• Insikt Groupは、PurpleBravoが少なくとも7つの事業体を対象としており、そのうち3つはマーケットメイキング会社、オンラインカジノ、ソフトウェア会社など、暗号通貨セクターに属していると評価しています。
• Insikt Groupは、PurpleBravoがコマンド・アンド・コントロール（C2）サーバーを管理するためにAstrill VPNを使用している証拠を発見しました。
• PurpleBravoは、少なくとも3つの求人サイト、Telegram、GitHubに求人広告を掲載していたことが判明しました。
• Insikt Groupは、中国、インド、パキスタン、ウクライナ、米国で合法的なIT企業になりすまして中国で活動している北朝鮮関連のフロント企業と疑われる企業を少なくとも7社特定しました。
• 組織は、可能な限り、リモートデスクトップソフトウェアを無効にし、ネットワーク全体で開いているポートを定期的にチェックし、内部脅威監視を導入し、デバイスの位置情報を特定するなど、強固な技術的保護手段を実装する必要があります。
• Insikt Group は、PurpleBravo や TAG-121 のようなグループがリモートワーク環境を悪用し、世界の IT サプライチェーンと知的財産を脅かし続けると予想しています。
• 北朝鮮の不正な遠隔雇用やフロント企業への移行は、従来の雇用プロトコルのチェックを上回るペースで進むと予想され、組織や政府は、この拡大する脅威に対抗するために、より厳格な本人確認、遠隔勤務のセキュリティ強化、強力な国際的な情報共有を採用するようになるでしょう。

背景

2025年1月23日、米国司法省（US DOJ）は、北朝鮮政権の財源となったリモートワーカー詐欺のかどで、2人の北朝鮮国民と3人の協力者を起訴しました。起訴状において、米国司法省は、2人の米国市民と1人のメキシコ国民が北朝鮮のIT労働者と共謀し、少なくとも米国企業64社でリモートワークを行う6年間の計画について説明しました。10社からの支払いにより、少なくとも866,255ドルの収益が生まれ、その収益は中国の銀行口座を通じてロンダリングされました。この起訴状に加えて、北朝鮮のIT労働者に遭遇した組織や個人の話は、オープンソースで定期的に見つけることができます（1、2、3）。制裁違反に加えて、これらの労働者からの脅威、例えば機密データの窃盗や社内システムへのマルウェアのインストールは、特にリモートワーク環境において、組織に独自の課題をもたらします。

北朝鮮は、物資、人員、情報に対する政権の厳格な管理と、国家に対する国際的な制裁により、依然として外部世界から非常に孤立しています。にもかかわらず、平壌の指導部は、新興技術を活用してその作戦に資金を提供することに非常に長けています。制裁が強化されるにつれ、政権は密輸やサイバー犯罪などの違法行為をエスカレートさせることで適応しました。近年、政権は従来の金融機関からの窃盗や暗号通貨のようなデジタル資産の窃盗で大きな成功を収めています。2020年から2024年にかけてのリモートワークの台頭により、北朝鮮は熟練したIT労働者を偽の身分でグローバル企業に潜入させる新たな機会を生み出しました。その活動は、知的財産に依存する産業に重大な脅威を与えると同時に、政権の軍事プログラムを直接支援しています。

北朝鮮のIT労働者に関する研究は、北朝鮮のIT労働者が代理を通じて不正な雇用を獲得すること、北朝鮮のフロント企業がしばしばソフトウェア開発分野で合法的な組織になりすますこと、暗号通貨やAIなどの業界でソフトウェア開発者を狙った偽の雇用機会などの脅威の側面に焦点を当てています。他の研究では、ITワーカーと北朝鮮の脅威アクターによる進行中の悪意のあるキャンペーンとの関連性が確立されています。

脅威分析

PurpleBravo

2023年11月に初めて報告された「Contagious Interview」キャンペーンは、主に暗号通貨分野のソフトウェア開発者を対象としており、北朝鮮によるものとされていました。このキャンペーンでは、JavaScriptのインフォスティーラーであるBeaverTail、クロスプラットフォームのPythonバックドアであるInvisibleFerret、そして最近では2024年12月に確認された新しいバックドアであるOtterCookieを使用しました。この活動を担当するグループは、オープンソースではCL-STA-0240、Famous Chollima、Tenacious Pungsanとして知られています。Insikt Groupは、この活動クラスターにPurpleBravo（旧称TAG-120）という名称を付けました。

PurpleBravoの不正プロファイル

2024年12月3日、ある開発者が、PurpleBravoオペレーターと疑われる人物との体験談をブログに投稿しました。採用担当者を名乗る人物が求人について連絡し、その後面接を行いました。面接中に、面接官は開発者にリポジトリからコーディングチャレンジをダウンロードするように依頼しました。開発者はファイルに悪意のある機能があることに気づき、面接を終了しました。この開発者はマルウェアや攻撃者を特定していませんが、Insikt Groupは、このファイルがBeaverTailインフォスティーラーであることを確信を持って評価しています。

この面接官は、AgencyHill99のCTOを自称するJavier Fiescoという名前のLinkedInアカウントを使用しました。Javier Fiescoをさらに調査したところ、同名の人物がWeb3開発の求人掲示板であるremote3で働いていることが判明しました。ウェブサイトagencyhill99[.]comは2024年9月13日にHostingerで登録されました。2025年2月初旬現在、このウェブサイトは解決されなくなりましたが、以前はHostingerのランディングページを表示していました。AgencyHill99を調査したところ、求人広告でブロックチェーンの知識を持つ開発者を募集するlevels[.]fyiが見つかりました。連絡先情報は次のとおりです。

• お問い合わせ: alexander@agencyhill99[.]com
• 採用担当者：vision.founder1004@gmail[.]com

職務記述書のテキストにピボットすると、Upwork（1、2）の2つの非公開求人情報が返されました。さらに、ハッカソン、バウンティ、助成金組織のウェブサイトDoraHacksで、AgencyHill99に勤務するLuciferという名前とAI生成と思われる顔写真が掲載されたプロフィールが確認されました。DoraHacksのプロフィールには、AgencyHill99が開発者を募集していると記載されています。Insikt Groupは、パートタイムおよびリモートジョブプラットフォームのウェブサイトIntchで、Agencyhill99という名前の会社も発見しました。同社は、AgencyHill99のリクルーターであるNewton Curtisという人物による「パートタイムIT開発者の募集」を掲載しました。

図1：DoraHacksのPurpleBravo運営者のアカウント（出典：DoraHacks）

Insikt Groupは、求人を宣伝するメールアドレス@agencyhill99[.]comを持つ個人からの投稿をTelegramチャンネルでいくつか見つけました。以下は投稿の概要です。

• 2024年9月16日、ユーザー名Dale_Vとメールアドレスayat@agencyhill99[.]comのアカウントがTelegramチャンネル「freelancerclients」開発者を採用する意向を投稿しました。
• 2024年9月26日、ユーザー名jaxtonholとメールアドレスysai@agencyhill99[.]comのアカウントがTelegramチャンネル「indeedemploijobeur」に開発者を採用する意向を投稿しました。同じ日に、メールアドレスysai@agencyhill99[.]comを使用したDale_VのアカウントがTelegramチャンネル「cryptolux_b」にブロックチェーン開発者を募集していると投稿しました。「itkita」、「andexzuxiaomichat」、「usvacancy」の各チャンネルにも同じメッセージを投稿しました。2024年9月27日、Dale_Vは「crypto_brazil」と「cryptolux_br」のチャンネルに同じメッセージを投稿しました。
• 2024年10月2日、Dale_Vは同じメッセージを「fortifiedx_chat」、「family_indonesia_uae_ph」、「cryptolux_br」、「freelancerclients」チャンネルにsam@agencyhill99[.]comという新しいメールアドレスで投稿しました。
• 2024年10月3日、インドネシア語のTelegramチャンネルのユーザーが、PurpleBravoの運営者から受け取ったメールメッセージのスクリーンショットを投稿しました。
• 2024年10月9日、Dale_Vは「andexzuxiaomichat」、「family_indonesia_uae_ph」、「cryptolux_br」、「crypto_brazil」、「freelancerclients」チャンネルに求人広告を投稿しました。
• 2024年10月22日、Dale_VはTelegramチャンネル「hiringofm」に投稿し、「Destiny War」というゲームのメンテナンスを手伝ってくれる人を募集し、Xのリンクhxxps://twitter[.]com/destinywarnftを追加しました。このアクターがこのXアカウントまたはゲームを管理しているかどうかは不明です。
• 2024年11月13日、Telegramユーザーjaxtonholは、Telegramチャンネル「near_jobs」でブロックチェーンエンジニアを募集する投稿を行いました。同じユーザーが2024年12月7日に同じチャンネルでysai@agencyhill99[.]comというメールアドレスを使って再度投稿しました。
• 2024年11月30日、あるTelegramユーザーが、上記のアカウントAgencyhill99に関連するJavier FeiscoからのLinkedInの求人が正当かどうかを尋ねる投稿をし、メッセージのスクリーンショットを共有しました。

GitHubリポジトリ

Insikt Groupはadmin@agencyhill99[.]comというメールアドレスのagencyhill99というGitHubリポジトリを発見しました。GitHubユーザーのdev-astro-starは、2024年10月9日から19日の間にリポジトリに複数回コミットを行いました。これらのコミットに基づくと、同ウェブサイトはウェブアプリケーション向けのGoogleのバックエンドサービスであるFirebaseを使用していたようです。ユーザーは、Googleドライブリンクhttps://drive.google[.]com/uc?id=166zcmpqj-C7NPltm4iwRolz8XuxqZIXtでファイルをダウンロードするためのボタンを追加しましたがこのリンクはアクセスできなくなっています。メールアドレスadmin@agencyhill99[.]comとTelegram チャンネルhxxps://t[.]me/+2AurfGZWxZo0MDgxもリポジトリに追加されましたがこれらもアクセス不能になっています。このユーザーはhxxp://65.108.20[.]73/BattleTank[.]exeへのダウンロードリンクも追加しました。これはもう公開されておらず、後にhxxp://65.108.20[.]73[:]3000/BattleTank[.]exeに更新されました。ポート3000は2024年10月20日から2024年11月22日まで65.108.20[.]73で開いていました。リンクはその後hxxp://locahost[:]3000/BattleTank[.]rarに更新されました。

PurpleBravoのマルウェアとインフラストラクチャ

PurpleBravoは、BeaverTail、InvisibleFerret、OtterCookieというマルウェアファミリーを使用しています。BeaverTailは、最初はNPMパッケージを介してJavaScriptペイロードとして配布され、後にWindowsおよびmacOS環境を標的とする実行可能ファイルおよびダウンローダーとして配布されたマルウェアファミリーです。BeaverTailは情報窃取型マルウェアとしても機能し、暗号資産ウォレットやブラウザの情報を収集します。InvisibleFerretは、被害者の環境でバックドアとして総合的に機能する、侵害後のペイロードのコレクションです。InvisibleFerretは、被害者の環境に追加の悪意のあるペイロードを導入し、被害者の環境内で情報窃取やフィンガープリンティングを行い、C2通信に正当なプロトコルとソフトウェアを利用します。InvisibleFerretと同様に、OtterCookieはバックドアとして使用される侵害後のマルウェアファミリーで、Socket[.]IOを介してC2接続を確立します。C2サーバーからシェルコマンドを受信して実行し、被害者の機密データを外部に送信します。

Insikt Groupは、BeaverTail、InvisibleFerret、OtterCookieのマルウェアサンプルを分析しました（関連するファイルハッシュについては付録Bを参照）。BeaverTailサンプルは、Windows環境を標的とするPEバリアントとして特定されました。これらのサンプルには、freeconference[.]comという正当な会議用ウェブサイトにリンクされたURLが含まれており、FreeConferenceの実行可能ファイルを装ったContagious Interviewペイロードに関するUnit42の調査結果と一致しています。OtterCookieのサンプルは、マルウェアファミリーの2つの異なるバージョンでした。ただし、これらのサンプルの静的分析には、両方のサンプルがシステムフィンガープリント情報を収集して攻撃者のC2サーバーに送信できることを示す文字列が含まれていました。さらに、OtterCookieが正規表現パターンを使用して、実行ファイル、写真、構成ファイル、環境設定ファイルなどの特定のファイルタイプに含まれる暗号通貨資産や機密情報を識別できることを示す文字列も含まれていました。

分析されたInvisibleFerretのサンプルは、次の機能を備えたPythonスクリプトでした。

• ローカルIPアドレス検索による被害者デバイスの位置特定
• デバイスのフィンガープリンティング詳細（ユーザーとホスト名）
• HTTP POSTリクエストによるBase64エンコードC2アドレスへの接続
• ハードコードされた文字列を使用したローカルディレクトリ検出の実行
• SSHセッション管理とデータ漏洩のためのリバースシェルの作成
• クリップボードデータのコピー、キーロギング、マウス操作の追跡

InvisibleFerretの以前のサンプルはZscalerによって分析され、図2に示すように、最初の偵察がHTTPトラフィックを介して行われ、FTPがデータ流出に使用されるという二部構成の感染チェーンが説明されました。

図2: InvisibleFerret感染チェーン（出典：Recorded FutureおよびZscaler）

Insikt Groupは、2024年8月から2025年2月の間に21台のPurpleBravoサーバーを特定しました（一覧は付録Bを参照）。大半のサーバーはTier[.]Netホスティングを使用していますが、Majestic Hosting、Stark Industries、Leaseweb Singapore、Kaopu Cloud HKもこのキャンペーンで利用されています。Insikt Groupは以前、他の北朝鮮の脅威グループがこれらのホスティングプロバイダーの多くを好んでいることを観察しています。C2サーバーに加え、Recorded FutureのNetwork Intelligenceを使用して、Insikt Groupは2024年9月から2025年2月13日までの間に少なくとも7人の疑わしい被害者を確認しました。被害者はアラブ首長国連邦、コスタリカ、インド、ベトナム、トルコ、韓国を含む少なくとも6か国に所在しています。オープンソースの調査によれば、Astrill VPNは北朝鮮のIT労働者に好まれるサービスであり、リモート管理ツールと共にこのサービスが使用されている証拠があります。Insikt Groupは、既知のAstrill VPNエンドポイントとPurpleBravoサーバー間のネットワークトラフィックを観測し、この接続を裏付けました。

図3：PurpleBravoの被害地域（出典：Recorded Future）

以下にまとめた調査結果では、暗号通貨分野で少なくとも3人の被害者が特定されました。

• 2024年10月3日、Insikt Groupは、BeaverTail C2とアラブ首長国連邦に拠点を置く暗号通貨分野のマーケットメイキング企業との間で発生した可能性のある偵察トラフィックを観察しました。偵察トラフィックの直後に、同じIPアドレス間でFTPトラフィックが流出した可能性が高いことが確認されました。
• 2024年10月15日、Insikt Groupは、BeaverTail C2と、暗号通貨分野でオンラインゲームを提供し、スロットマシンを販売するギャンブル会社との間で発生したと考えられる偵察トラフィックを観測しました。同社はコスタリカで登録されています。2024年11月25日と11月26日に、C2と同社のインフラストラクチャ間で偵察トラフィックに続いてFTP流出トラフィックが観測されました。
• 2024年10月2日、Insikt Groupは、BeaverTail C2と、インドに拠点を置き、ブロックチェーン、AI、モバイルなどのアプリケーションを開発するソフトウェア開発会社との間で潜在的なFTPデータ流出トラフィックを観測しました。

分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。