北朝鮮のハッカー、偽の暗号通貨企業や就職面接を利用してマルウェアを拡散

サイバー犯罪の手口に新たな冷酷な変化が見られる。北朝鮮と関係のあるハッカーが、正規の仮想通貨コンサルティング会社を装い、偽の就職面接でマルウェアを拡散させているのだ。サイバーセキュリティ専門家によって明らかにされたこの巧妙な攻撃は、脅威アクターがシステムに侵入し、機密情報を盗むためにどれほどの手段を講じるかを示している。

偽の企業、真の脅威

Silent Push による徹底的な分析によると、いわゆる「Contagious Interview」キャンペーンの背後にいる脅威アクターは、3 つのフロント企業を設立しています。

• BlockNovas LLC (blocknovas[.]com)
• アンジェロパー・エージェンシー（angeloper[.]com）
• SoftGlide LLC (softglide[.]co)

これらの偽企業は、疑うことを知らない被害者（主にITおよび暗号通貨の専門家）を偽の採用プロセスに誘い込みます。コーディング課題や技術面接を装い、応募者は正規の業務資料に偽装したマルウェアをダウンロードするよう仕向けられます。

この作戦で展開されたマルウェア ファミリには、BeaverTail、InvisibleFerret、OtterCookie などがあり、それぞれ Windows、Linux、macOS を含む幅広いシステムを侵害するように綿密に作成されています。

欺瞞の網

サイバーセキュリティ企業も「DeceptiveDevelopment」や「Famous Chollima」といった名前で追跡している「Contagious Interview」作戦は、北朝鮮のサイバースパイ活動戦術の劇的なエスカレーションを表している。

ハッカーたちは偽ウェブサイトの作成だけに留まりません。Facebook、LinkedIn、Pinterest、X（旧Twitter）、Medium、GitHub、GitLabといったソーシャルメディアプラットフォーム全体に偽のプロフィールを作成し、自らの活動に正当性を与えています。Silent Pushによると、BlockNovasはウェブサイトに従業員チームを偽装し、新規登録の会社であるにもかかわらず、12年以上の経験があるという虚偽の主張をしていました。

この欺瞞はマルウェアの展開へと繋がります。採用プロセスを通じて標的となった被害者は、意図せずJavaScriptスティーラー兼ローダーであるBeaverTailをダウンロードし、その後、永続性を維持し機密データを盗み出すバックドアであるInvisibleFerretをインストールします。感染によっては、OtterCookieと呼ばれる二次的なマルウェアツールもドロップされます。

インフラストラクチャとターゲット

BlockNovasの活動はウェブサイトや偽プロフィールだけにとどまりませんでした。Silent Pushの調査チームは、BlockNovasのサブドメインの1つに「ステータスダッシュボード」を発見しました。これは、攻撃に関与した複数のドメインを監視するために使用されていました。さらに、mail.blocknovas[.]comには、オープンソースのパスワードクラッキング管理ツールであるHashtopolisがホスティングされていることも判明しました。

偽の採用活動によって既に被害者が出ています。2024年9月に確認された事例では、ある開発者のMetaMask仮想通貨ウォレットが侵害されました。

もう一つの憂慮すべき発見は、暗号通貨ウォレットを接続するサービスを提供するKryptoneer（attisscmo[.]comでホスト）というサイトに関するもので、これはブロックチェーンユーザー、特にSuiブロックチェーンに接続しているユーザーをターゲットにしている可能性がある。

取り締まりと国際的な影響

2025年4月23日現在、FBIを含む米国の法執行機関は、偽の求人情報を装ってマルウェアを拡散したとして、BlockNovasのドメインを押収しました。

研究者たちは、技術的な脆弱性に加え、脅威アクターがRemakerなどのAI搭載ツールを使用してリアルな偽のプロフィール写真を生成し、偽企業の信頼性を高めていることにも気づいています。また、ロシアのインフラとのつながりを示唆する証拠もあり、捜査官は北朝鮮とロシアの国境付近にあるVPN、プロキシ、VPSサーバーによって隠蔽されたロシアのIPアドレス範囲まで遡って、この活動を追跡しました。

専門家は、こうしたつながりを考慮すると、北朝鮮とロシアのサイバー犯罪者の間には、ある程度の協力関係、あるいは少なくともインフラの共有がある可能性があると示唆しているが、その確証は低から中程度の信頼性にとどまっている。

全体像: Wagemole と GenAI ツール

「伝染面接」キャンペーンは、北朝鮮のより広範な戦略の一側面に過ぎません。「Wagemole」として知られるもう一つの戦術では、北朝鮮工作員がAI生成のペルソナを用いて外国企業で合法的な雇用を獲得し、その給与を政権に還流させています。

サイバーセキュリティ企業オクタは、北朝鮮の仲介者がスケジュール管理、会話の書き起こし、インタビューのリアルタイム翻訳に生成AI（GenAI）ツールをますます利用しており、潜入活動の検出と阻止が困難になっていると警告した。

警戒の強化が重要

このキャンペーンは、国家主導のサイバー攻撃の巧妙化とソーシャルエンジニアリングの革新的な活用を浮き彫りにしています。特に暗号通貨や金融セクターのテクノロジー関連従事者は、求人案件に応募する際には、採用プロセスが急ぎすぎたり、通常とは異なる手順だったり、見慣れないファイルのダウンロードを要求されたりする場合は、常に細心の注意を払う必要があります。

組織は応募者の選考プロセスとサイバーセキュリティ対策を強化する必要があります。一見無害な求人が壊滅的なマルウェア感染の扉を開く可能性がある時代において、注意はもはやオプションではなく、必須です。