## 数ヶ月に及ぶ潜入が大規模仮想通貨強盗へ発展 **Drift**の担当者は、窃盗事件の6ヶ月前に、仮想通貨カンファレンスで定量取引企業を名乗る人物からアプローチを受けた経緯を詳細に説明しました。この企業は、**AppleJeus**または**Citrine Sleet**としても知られる北朝鮮国家関連グループ**UNC4736**と関連していました。このグループは、綿密に計画された関係構築を開始しました。 **Drift**の技術に精通し、深い知識を持つとされたこれらの人物は、「検証可能な専門的経歴」を持っていました。調査によると、北朝鮮の工作員は、数ヶ月にわたり複数の国の主要な業界カンファレンスで**Drift**の貢献者を標的にしていました。 決定的なのは、**Drift**の担当者と直接会った人物が北朝鮮国籍ではなかったことです。政府は、信頼関係を構築するために仲介者を利用したとされています。**Drift**によると、これらの第三者工作員は、精査に耐えうるように、雇用履歴、公開資格情報、専門ネットワークを含む、細心の注意を払って構築された身元情報を持っていました。 **Drift**の貢献者は、**Telegram**グループを通じて、偽の取引企業と数ヶ月にわたり、取引戦略や潜在的なボルト統合について話し合いました。このやり取りは、**Drift**プラットフォームにおける取引企業の典型的なオンボーディング手順を模倣したものでした。同社は、誠意の証として100万ドルの自社資金を**Drift**に預け入れました。 統合に関する議論は数ヶ月続き、業界カンファレンスでの対面会議は関係をさらに強固なものにしました。4月1日、ハッカーは攻撃を開始し、2億8000万ドルを盗みました。影響を受けたデバイスの内部レビューにより、侵入が偽の取引グループとのやり取りに遡ることが判明しました。 一つの顕著な兆候は、攻撃直後に取引企業が**Drift**との**Telegram**チャット履歴全体を削除したことでした。調査により、攻撃された貢献者が取引企業から共有された悪意のあるコードリポジトリをコピーしたことや、別の貢献者が悪意のある可能性のある**TestFlight**アプリケーションのダウンロードを促されたことなど、潜在的な攻撃ベクトルが明らかになりました。 **Drift**は現在、進行中の捜査において、法執行機関およびサイバーセキュリティ企業**Mandiant**と協力しています。**Drift**のすべての機能は一時停止されており、攻撃者のウォレットは複数の取引所およびブリッジオペレーターでフラグが立てられています。 ## 過去の攻撃との類似性 捜査官は、**Drift**への攻撃を、2024年10月に仮想通貨企業**Radiant Capital**から5000万ドルが盗まれた事件と関連付けています。両方の作戦で使用された資金の宛先とペルソナに類似性が見られます。 **DTEX**の北朝鮮サイバー作戦専門家であるマイケル・バーンハート氏は、この事件が平壌によって組織された他の収益創出スキームとの関連性を指摘しました。バーンハート氏は、2017年の金正男暗殺を含む過去の北朝鮮の作戦を彷彿とさせる、代理人や切り札の使用を強調しました。 バーンハート氏は、北朝鮮がこれらのスキームにおいてますます巧みになっており、しばしば個人を長期間にわたるIT労働者スキームに参加させるように欺いていると強調しました。 ## AppleJeusとの関連 バーンハート氏は、**AppleJeus**の起源を、2016年にバングラデシュ中央銀行から大規模な窃盗を行った後に分裂した北朝鮮の**APT38**に遡りました。米国当局、**Microsoft**、**Google**は、**AppleJeus**に起因する攻撃について繰り返し警告を発しています。2023年のエンタープライズ電話会社**3CX**に対するサプライチェーン攻撃も、同じグループに関連付けられていました。 司法省と**FBI**は、北朝鮮が少なくとも2018年以降、正規の仮想通貨取引プラットフォームを装ったウェブサイトを使用して、被害者に**AppleJeus**マルウェアを感染させていると述べています。2024年には、**Microsoft**が**Citrine Sleet**が**Chromium**ブラウザに影響を与えるゼロデイ脆弱性を利用して仮想通貨業界を標的にしていることを確認しました。 **FBI**は繰り返し、北朝鮮が仮想通貨を標的にして数十億ドルを生成し、盗まれた資金を弾道ミサイル開発計画の資金調達に使用していると述べています。国連の捜査官によると、北朝鮮のグループは昨年、仮想通貨企業から20億ドル以上を盗み、2017年から2023年の間に30億ドルを盗みました。 バーンハート氏は、**Drift**作戦を、その長期にわたるタイムラインと巧妙な欺瞞のため、「すべての状況の中で最も洗練されたもの」と特徴づけました。「**Drift**事件がこれほど大規模であるという事実は非常に興味深い」とバーンハート氏は結論付けました。「なぜなら、それはスパイ小説のように読めるからです。」