北朝鮮アクターがインド暗号資産業界の求職者を標的に

北朝鮮アクターがインド暗号資産業界の求職者を標的に

The Record – June 19th, 2025

北朝鮮グループ「Famous Chollima」が2024年中旬以降、主にインドを拠点とする少数の人々を狙ったキャンペーンを実施していることをCisco Talosの研究者らが発見。このキャンペーンで同グループは暗号資産やブロックチェーン業界で求職活動を行う個人をターゲットに、「PylangGhost」というマルウェアを展開しているという。

Famous Chollimaは北朝鮮関連の脅威アクターで、複数のグループから構成されている可能性もあるとされる。Wagemoleとしても知られるこのグループはCisco Talosの研究者らが観測した攻撃において、CoinbaseやArchblock、Robinhood、Parallel Studios、Uniswapなど実在する企業のリクルーターを装い、ソフトウェアエンジニアやマーケティング担当者、デザイナーといった職を探す求職者を狙う。

これらのターゲットはその後、採用プロセスの一環として「スキルテスト」を受験するよう要求され、テスト用Webサイトへの招待コードを受信。このサイトではその後、面接用に動画を撮影するよう依頼されるが、ターゲットがカメラアクセスを承認しようとすると「カメラまたはマイクがブロックされている」というエラーが表示される。攻撃者はここで、「この問題を修正するため」としてClickFixの手法を使用。ターゲットにPylangGhostへ繋がる有害コードをインストールさせるという。

PylangGhostはFamous Chollimaのみが用いるとされるリモートアクセス型トロイの木馬（RAT）で、GolangGhost RATのPython版。両者は似たような動作をし、機能の多くも共通しているという。MacOS向けのバージョンとWindows向けのバージョンが作成されており、いずれも保存されたブラウザ認証情報やセッションクッキー、およびその他のデータをさまざまなブラウザ拡張機能から盗み出すことができるとされる。

北朝鮮のグループはこれまでにも、職探し中の人々をマルウェアに感染させ、暗号資産界隈で成功を収める求職者の属性とはどんなものなのかに関する情報を得ようとしてきた。今回Cisco Talosが観測したキャンペーンも同様で、こうして得られた情報は今後、北朝鮮が米国やヨーロッパなどの企業に自国民を雇わせようとする上で有用なデータとなる可能性があるとのこと。

【無料配布中！】ディープ＆ダークウェブ関連レポート

弊社が作成したレポート『ディープ＆ダークウェブにおけるSNSアカウント売買とディープフェイク』を無料配布中です！

ネット上の匿名性を悪用した不正や犯罪が日本においても大きな脅威となる中、弊社アナリストが過去 1 年間のディープ & ダークウェブ上の投稿データを調査。「SNS アカウント売買」「ディープフェイク」という切り口から、ネット上の匿名性を悪用する脅威アクターらの実態をレポートにまとめました。

無料ダウンロードはこちらのバナーから：

レポートの内容

第1章：アカウント売買・貸与

• 中国語アカウントマーケット
• 英語 Black Hat SEO 関連フォーラム
• 英語「デジタル権利マーケット」
• ロシア語 SMM ツールフォーラム
• 英語暗号資産関連フォーラム
• ロシア語ハッキングフォーラム

第2章：ディープフェイク

• DDW で言及されたディープフェイク
• ディープフェイク関連の特筆すべき投稿