偽装雇用と暗号資産決済を組み合わせた構造
オンチェーン調査官として知られるザックXBT(ZachXBT)氏が、北朝鮮系IT労働者とみられる組織ネットワークに関する調査内容を4月8日に自身のXアカウントで公開した。
同氏は、北朝鮮の内部決済サーバーより流出したとされるデータを匿名の情報提供者から入手したと説明している。データには約390件のアカウント情報のほか、チャットログ、暗号資産(仮想通貨)の取引履歴、身元情報などが含まれていたという。これらの情報は、これまで公開されたことがないものだと伝えられている。
ザックXBT氏によると、今回確認された北朝鮮系ITワーカーの活動には、共通の構造があるとされる。その構造は、偽の身元情報や偽造書類を用いる雇用スキームと、暗号資産を活用した決済フローが組み合わされたものだという。
これらの分析は、北朝鮮系ITワーカーによる活動が、雇用と資金移動の仕組みを組み合わせた組織的な運用として行われている可能性を示すものとされる。
同氏は、2025年11月以降で約350万ドル(約5.56億円)以上の資金が関連ウォレットを通じて処理され、月間では約100万ドル(約約1.59億円)規模の収益が発生している可能性があると主張している。
また、内部にはメッセージングサービスに類似した送金・決済プラットフォームが存在し、ワーカーが収益報告を行い、管理者アカウントを通じて支払いが確認・指示される仕組みだったと、同氏は説明している。この中で、中央管理アカウントとして「PC-1234」が確認されたという。同アカウントは、各ワーカーの収益確認や支払い指示を行う役割を担っていた可能性がある。
資金の流れについては、暗号資産での送金後、中国の銀行口座や「ペイオニア(Payoneer)」などの決済サービスを通じて法定通貨に換金されるパターンが確認されたとのこと。このような資金フローにより、暗号資産と法定通貨を接続する形で収益化が行われていた可能性があるとみられる。
さらに同氏は、内部メッセージングツール「IPMsg」のログなどをもとに、内部決済サイトの存在を特定したと説明している。同サイトでは、複数のユーザーがデフォルトパスワードを変更せず利用していたケースも確認されたという。また、ユーザー一覧には氏名や都市名、グループ識別コードが含まれていたとされる。これらの情報は、当該ネットワークが内部で統一された決済・管理システムを用いて運用されていた可能性が示されている。
加えて、データ上に現れた「ソベクス(Sobaeksu)」、「シーナル(Saenal)」、「ソングァン(Songkwang)」といった企業名について、いずれも米財務省外国資産管理局(OFAC)の制裁対象とされている企業と一致している。この点から、当該組織が既存の北朝鮮関連組織と一定の関係を持つ可能性を示すものと同氏は説明している。
ザックXBT氏は、オンチェーン分析の結果、複数の決済アドレスが既知の北朝鮮系ITワーカーのクラスターと関連している可能性があるとも述べている。また、関連するトロン(Tron)アドレスの一部は2025年12月にステーブルコイン発行企業のテザー(Tether)によって凍結されたとしている。
今回のデータからは、VPNを利用した所在の隠蔽や、偽の身元を用いた求人応募、複数人による内部コミュニケーションの様子なども確認されたと同氏は説明している。また、一部のログには暗号資産関連プロジェクトを標的とする可能性のあるやり取りも含まれていたが、実際に攻撃が行われたかどうかは不明としている。
さらに、2025年11月から2026年2月にかけて、管理者がリバースエンジニアリング(ソフトウェアの解析)に関するトレーニング資料をグループ内で共有していたことも確認されたという。同氏は、このネットワークについてラザルス(Lazarus)などの高度な北朝鮮系ハッキンググループと比較すると洗練度は低いと評価する一方で、収益規模は過去の推定と一致するとの見方を示している。
このようなデータを用いた詳細な分析が公開された一方で、この調査結果はザックXBT氏による分析および投稿内容に基づくものであり、関係主体による公式な確認が行われているものではない。
なお直近では、ソラナ基盤の分散型取引所「スタブル(Stabble)」が、同プロトコルの雇用人材に関して北朝鮮ITワーカーとのつながりがあるのではないかとザックXBT氏からの指摘を受けた。その後スタブルは、ザックXBT氏の投稿を引用する形でユーザーに対し流動性の一時引き出しを要請している。また、「ドリフト(Drift Protocol)」では、長期間にわたる関係構築を通じたソーシャルエンジニアリング型のインシデントが報告されており、北朝鮮系とみられる活動との関連性が指摘されている。
暗号資産業界では、リモート人材の活用が進む一方で、開発者の身元確認やセキュリティ管理の重要性が改めて問われている。
1/ Recently an unnamed source shared data exfiltrated from an internal North Korean payment server containing 390 accounts, chat logs, crypto transactions.
— ZachXBT (@zachxbt) April 8, 2026
I spent long hours going through all of it, none of which has ever been publicly released.
It revealed an intricate… pic.twitter.com/aTybOrwMHq
画像:PIXTA