GoogleのMandiantサイバーセキュリティ部門は、北朝鮮関連の脅威グループが仮想通貨およびフィンテック企業に対する攻撃をエスカレートさせていると報告しました。このキャンペーンでは、高度なソーシャルエンジニアリング、AI生成のディープフェイク、および7つの新しいマルウェアファミリーを駆使し、システムを侵害してデジタル資産を盗み出しています。
Google CloudのMandiant部門からの報告によると、北朝鮮関連の脅威アクターが、仮想通貨およびフィンテック分野に対し、新たな洗練された攻撃波を展開しています。UNC1069として追跡されるグループは、新しく発見されたSILENCELIFT、DEEPBREATH、CHROMEPUSHというツールを含む、7種類の異なるマルウェアファミリーを使用して、被害者からデータを捕捉および外部に流出させることが確認されています。
このキャンペーンは、その有効性を高めるために人工知能を組み込むことで、戦術における重要な進化を示しています。Mandiantは、このグループが2025年11月に活動中の作戦で「AI対応の誘い」を使用し始め、ソーシャルエンジニアリングの取り組みを拡大できるようになったと報告しています。主要な標的には、仮想通貨企業、ベンチャーキャピタル投資家、およびソフトウェア開発者が含まれます。
攻撃者の手口は、巧妙なソーシャルエンジニアリング計画に依存しています。ある詳細な侵入事例では、工作員が仮想通貨創設者の侵害されたTelegramアカウントを利用して標的と接触しました。その後、被害者はZoom会議に招待され、攻撃者はディープフェイクビデオを使用して音声の問題を装い、攻撃の口実を作りました。
「ClickFix」攻撃と称されるこの戦術は、被害者を騙して、存在しない音声問題を修正するためのトラブルシューティングコマンドに見えるものを実行させることを含みます。Mandiantによると、これらのコマンドには、マルウェア感染チェーンを開始し、攻撃者にホストシステムとそのデータへのアクセスを許可する隠されたスクリプトが含まれています。
これらの最近の活動は、北朝鮮の国家支援グループに起因する長年にわたるサイバー犯罪のパターンの一部です。これらのアクターは、デジタル資産業界にとって持続的かつ高額な脅威を提示しています。北朝鮮とのつながりを持つ別の悪名高い組織であるLazarus Groupは、以前、史上最大の仮想通貨盗難の一つであるBybit取引所の14億ドル規模のハッキングと関連付けられていました。
その他の文書化された事件も、この脅威の深刻さを裏付けています。2025年6月には、複数の仮想通貨スタートアップにフリーランス開発者として潜入していた4人の北朝鮮工作員が、これらの企業から合計90万ドルを盗んでいたことが判明しました。これらの出来事は、Web3エコシステムのセキュリティと安定性に対して、これらのグループがもたらす一貫した進化する危険性を強調しています。