北朝鮮アクターの偽ITワーカースキーム、研究者が「おとり捜査」で暴く

佐々山 Tacos

2025.12.03

北朝鮮アクターの偽ITワーカースキーム、研究者が「おとり捜査」で暴く

BleepingComputer – December 2, 2025、The Hacker News – Dec 02, 2025

IT系職種のリクルーターに扮して求職中の開発者らを標的にしている北朝鮮グループ「Famous Chollima」に対し、セキュリティ研究者らが「おとり捜査」を実施。同グループの用いる手口やツールの一部を暴き出すことに成功したという。

「WageMole」「Contagious Interview」などとも呼ばれるFamous Chollimaは、北朝鮮の国家支援型グループ「Lazarus」に属すると考えられているグループ。スパイ行為や資金調達を目的に、ソーシャルエンジニアリングの手法で西側諸国の企業へ侵入しようとすることで知られる。実際に、盗んだ身元情報やディープフェイク動画などのAI技術を多用して求職者になりすますことで、いくつかのフォーチュン500企業で職を得ることに成功してきた。

一方で同グループは、求職中のエンジニアや開発者をリクルートする手法も用いる。これは、自身の代わりにターゲット企業の採用面接を受けてもらうため。これによりFamous Chollimaは自らの居場所や痕跡を隠すことが可能となり、当該エンジニア／開発者は「表の顔」を演じた見返りとして報酬を受け取ることになる。

英国の脅威インテリジェンス企業BCA LTDのハッカーで、こうしたFamous Chollimaのリクルート戦術に詳しいMauro Eldritch氏は最近、GitHub上の複数のアカウントが同様の募集広告を多数のリポジトリへ送りつけているのを発見。その内容は、「自分の代わりに.NET、Java、C#、Python、JavaScript、Ruby、Go言語、ブロックチェーンなどに関連する技術的な採用面接を受けて欲しい」というもので、月に3,000ドルほどの報酬が提示されていたという。

Eldritch氏は、脅威インテリジェンスイニシアチブ「NorthScan」のHeiner García氏とともにおとり捜査を実施することを決め、北朝鮮のITワーカー侵入スキームの全貌を暴くために以下のような計画を立てた。

García氏が上記の募集に応じる新人エンジニア「Andy Jones」の役を演じて北朝鮮アクターと接触する。なおAndy Jonesは米国在住の開発者で、それ以前に北朝鮮アクターから募集広告を受信していた。
その際、Jones氏の公開リポジトリや関連情報などを模倣した新たなGitHubプロファイルを作成し、これを利用する。
ANY.RUNが提供するサンドボックスサービスを使い、ハニーポット版の「ラップトップファーム」をセットアップして、アクターとの接触中のアクティビティをリアルタイムですべて記録する。
その記録を使って、Famous Chollimaがこのオペレーションで用いる戦術やツールを分析する。

研究者らは「Jones」のペルソナを使って北朝鮮アクターと数回のやり取りを実施。するとアクターは、「リモートで作業するため」としてJonesのPC（実際にはEldritch氏が用意したPC）への常時有効なリモートアクセスを提供するよう要求してきたという。またアクターは、「Andy Jones」として面接を行うためにはIDやフルネーム、ビサのステータス、住所といった情報が必要であるほか、バックグラウンドチェックのための社会保障番号や本人確認のためのすべてのアカウント情報も必要だと説明。報酬としては、給与の20%か、もしくは、Jonesが情報とPCのみを提供して面接はアクター自身が受ける場合は10%が支払われると述べたという。

研究者らはJonesのPCでサンドボックス環境をセットアップし、北朝鮮アクターのブラウジングを妨害したり、マシンをクラッシュさせたりできる状態を確保。第三者に危害が及ばないようにした上で、アクターによるリモートアクセスを許可した。

アクターは、北朝鮮の偽ITワーカーが好んで使用するサービスとして知られるAstrill VPNを使ってリモート接続を実施。まずはシステム上のハードウェアをチェックし、Google Chromeをデフォルトのブラウザに設定すると、位置情報を確認したという。その後研究者らはわざとマシンをクラッシュさせたり、メッセージへのリプライを遅らせるなどして可能な限りアクターの活動時間を長引かせ、そのアクティビティを記録。のちの分析で、以下のようなツール類を明らかにすることができたという。

AI拡張機能の使用：AIApply、Simplify Copilot、Final Round AI、Saved PromptsといったAI搭載の拡張機能が複数観測された。これらは、求人応募フォームの自動入力や履歴書作成、ChatGPTプロンプトの保存などに役立てられるほか、面接中にリアルタイムで回答を得るためにも使われるものとみられる。
ワンタイムパスワード（OTP）拡張機能の使用：ターゲットとなる開発者の身元情報を入手した後、2FA処理を行う際に使用。
Google Remote Desktopの使用：ホストへの持続的なリモート制御のために使用。
システム偵察（dxdiag、systeminfo、whoami）の実施：ハードウェア構成や実行環境を確認するために実行。

またJonesのPCでのリモート作業中、アクターは自身のGoogleアカウントにログインし、同期オプションを有効化。これによりそのプロフィールに紐づくすべての設定がブラウザに読み込まれ、研究者らは同アクターのメール受信箱にアクセスすることも可能になったという。受信メールの中には、アクターが登録していた複数の求職用プラットフォームのメールのほか、Slackからのメールも存在。Slackからのメールには「Zeeshan Jamshed」という人物からのチャットメッセージの一部が記載されており、これにはJamshedが「イード」というイスラム教の祝祭のために休暇を取る旨が記されていたとされる。

研究者らはさらに、このオペレーションに参加したFamous Chollimaのメンバーは6人おり、それぞれMateo、Julián、Aaron、Jesús、Sebastián、Alfredoと名乗っていることが明らかになったとも報告。ただし、Famous Chollimaはこれ以外にも複数のチームから成ると思われており、中には10人ほどメンバーを抱えるチームもあるとされている。

Eldritch氏は、今回の調査の全容を12月4日に公表する予定とのこと。