نشر محقق البلوكشين زاك إكس بي تي سلسلة من التغريدات المكونة من 11 جزءًا في 8 أبريل 2026، كشف فيها عن بيانات تم استخراجها من خادم دفع داخلي كوري شمالي يستخدمه العاملون في مجال تكنولوجيا المعلومات في جمهورية كوريا الديمقراطية الشعبية، وأظهر أن قيمة المدفوعات التي تمت معالجتها تجاوزت 3.5 مليون دولار منذ أواخر نوفمبر 2025.
نشر موقع ZachXBT بيانات مسربة عن المدفوعات في كوريا الشمالية تُظهر تدفقًا شهريًا بقيمة مليون دولار من العملات المشفرة إلى العملات التقليدية
بقلم
مشاركة
النقاط الرئيسية:
- كشفت تحقيقات ZachXBT في 8 أبريل عن خادم دفع خاص بموظفي تكنولوجيا المعلومات في كوريا الشمالية قام بمعالجة أكثر من 3.5 مليون دولار منذ أواخر نوفمبر 2025.
- ظهرت ثلاث كيانات خاضعة لعقوبات مكتب مراقبة الأصول الأجنبية (OFAC)، وهي Sobaeksu وSaenal وSongkwang، في قائمة المستخدمين المخترقة من موقع luckyguys.site.
- تم إيقاف تشغيل الموقع الداخلي لكوريا الشمالية في 9 أبريل 2026، لكن ZachXBT قام بأرشفة جميع البيانات قبل نشر سلسلة المنشورات المكونة من 11 جزءًا.
استخدم قراصنة كوريون شماليون كلمة المرور الافتراضية "123456" على خادم دفع داخلي للعملات المشفرة
جاءت البيانات المسربة من جهاز أحد العاملين في مجال تكنولوجيا المعلومات في كوريا الشمالية الذي تعرض للاختراق بواسطة برمجيات خبيثة لسرقة المعلومات. شارك مصدر مجهول الملفات مع ZachXBT، الذي أكد أن المواد لم يتم نشرها علنًا من قبل. تضمنت السجلات المستخرجة حوالي 390 حسابًا، وسجلات دردشة IPMsg، وهويات مزيفة، وسجل تصفح، وسجلات معاملات العملات المشفرة.
كانت المنصة الداخلية التي كانت محور التحقيق هي luckyguys.site، والتي يُشار إليها داخليًا باسم WebMsg. كانت تعمل كبرنامج مراسلة على غرار Discord، مما يسمح لموظفي تكنولوجيا المعلومات في كوريا الشمالية بالإبلاغ عن المدفوعات إلى مشرفهم. لم يغير ما لا يقل عن عشرة مستخدمين كلمة المرور الافتراضية، التي تم تعيينها على "123456".
تضمنت قائمة المستخدمين الأدوار والأسماء الكورية والمدن وأسماء المجموعات المشفرة التي تتوافق مع العمليات المعروفة لموظفي تكنولوجيا المعلومات في كوريا الشمالية. ثلاث شركات تظهر في القائمة، وهي Sobaeksu وSaenal وSongkwang، تخضع حاليًا لعقوبات من مكتب مراقبة الأصول الأجنبية التابع لوزارة الخزانة الأمريكية.
تم تأكيد المدفوعات من خلال حساب إداري مركزي تم تحديده على أنه PC-1234. شارك ZachXBT أمثلة على رسائل مباشرة من مستخدم يُدعى "Rascal"، والتي تفصّل التحويلات المرتبطة بهويات احتيالية تمتد من ديسمبر 2025 حتى أبريل 2026. أشارت بعض الرسائل إلى عناوين في هونغ كونغ للفواتير والسلع، على الرغم من عدم التحقق من صحتها.
تلقت عناوين محافظ الدفع المرتبطة بها أكثر من 3.5 مليون دولار خلال تلك الفترة، أي ما يعادل حوالي مليون دولار شهريًا. استخدم العمال وثائق قانونية مزورة وهويات مزيفة للحصول على عمل. تم تحويل العملات المشفرة إما مباشرة من البورصات أو تحويلها إلى عملات تقليدية عبر حسابات بنكية صينية باستخدام منصات مثل Payoneer. ثم أكد الحساب الإداري PC-1234 الاستلام ووزع بيانات الاعتماد لمختلف منصات العملات المشفرة والتكنولوجيا المالية.
ربط تحليل Onchain عناوين الدفع الداخلية بمجموعات معروفة من عمال تكنولوجيا المعلومات في كوريا الشمالية. تم تحديد عنوانين محددين: عنوان Ethereum وعنوان Tron جمدتهما Tether في ديسمبر 2025.
استخدم ZachXBT مجموعة البيانات الكاملة لرسم خريطة للهيكل التنظيمي الكامل للشبكة، بما في ذلك إجمالي المدفوعات لكل مستخدم ولكل مجموعة. ونشر مخططًا تنظيميًا تفاعليًا يغطي الفترة من ديسمبر 2025 إلى فبراير 2026 على investigation.io/dprk-itw-breach، ويمكن الوصول إليه باستخدام كلمة المرور "123456".
قدمت الأجهزة المخترقة وسجلات الدردشة تفاصيل إضافية. استخدم العمال شبكة Astrill VPN وهويات مزيفة للتقدم للوظائف. تضمنت المناقشات الداخلية على Slack منشورًا من مستخدم يدعى "Nami" يشارك مدونة حول متقدم وظيفة من كوريا الشمالية باستخدام تقنية deepfake. كما أرسل المسؤول 43 وحدة تدريبية لبرنامجي Hex-Rays وIDA Pro إلى العمال بين نوفمبر 2025 وفبراير 2026، تغطي التفكيك وإلغاء التحويل البرمجي وتصحيح الأخطاء. تناول رابط مشترك واحد على وجه التحديد فك ضغط ملفات PE القابلة للتنفيذ المعادية.
تم العثور على 33 عاملاً في مجال تكنولوجيا المعلومات من كوريا الشمالية يتواصلون عبر نفس شبكة IPMsg. أشارت إدخالات سجلات منفصلة إلى خطط للسرقة من Arcano، وهي لعبة GalaChain، باستخدام وكيل نيجيري، على الرغم من أن نتيجة تلك المحاولة لم تكن واضحة من البيانات.
وصف ZachXBT هذه المجموعة بأنها أقل تطوراً من الناحية التشغيلية مقارنة بالمجموعات الكورية الشمالية الأعلى مستوى مثل Applejeus أو Tradertraitor. وقدر سابقاً أن عمال تكنولوجيا المعلومات الكوريين الشماليين يدرون مجتمعين عدة ملايين شهرياً. وأشار إلى أن المجموعات منخفضة المستوى مثل هذه تجذب الجهات التهديدية لأن المخاطر منخفضة والمنافسة ضئيلة.
عملاق أجهزة الصراف الآلي للعملات المشفرة يكشف عن سرقة 3.7 مليون دولار من عملة البيتكوين إثر هجوم إلكتروني
تعرضت شركة «بيتكوين ديبوت» لهجوم إلكتروني تسبب في خسائر بقيمة 3.665 مليون دولار. وتقول الشركة إن الاختراق لم يؤثر على معلومات العملاء أو عمليات أجهزة الصراف الآلي. read more.
اقرأ الآن
عملاق أجهزة الصراف الآلي للعملات المشفرة يكشف عن سرقة 3.7 مليون دولار من عملة البيتكوين إثر هجوم إلكتروني
تعرضت شركة «بيتكوين ديبوت» لهجوم إلكتروني تسبب في خسائر بقيمة 3.665 مليون دولار. وتقول الشركة إن الاختراق لم يؤثر على معلومات العملاء أو عمليات أجهزة الصراف الآلي. read more.
اقرأ الآنعملاق أجهزة الصراف الآلي للعملات المشفرة يكشف عن سرقة 3.7 مليون دولار من عملة البيتكوين إثر هجوم إلكتروني
اقرأ الآنتعرضت شركة «بيتكوين ديبوت» لهجوم إلكتروني تسبب في خسائر بقيمة 3.665 مليون دولار. وتقول الشركة إن الاختراق لم يؤثر على معلومات العملاء أو عمليات أجهزة الصراف الآلي. read more.
تم إيقاف نطاق luckyguys.site يوم الخميس، في اليوم التالي لنشر ZachXBT لنتائجه. وأكد أن مجموعة البيانات الكاملة تم أرشفتها قبل إغلاق الموقع.
يقدم التحقيق نظرة مباشرة على كيفية قيام خلايا العاملين في مجال تكنولوجيا المعلومات في كوريا الشمالية بتحصيل المدفوعات، والحفاظ على هويات مزيفة، وتحويل الأموال عبر أنظمة العملات المشفرة والعملات التقليدية، مع وثائق توضح حجم هذه المجموعات والثغرات التشغيلية التي تعتمد عليها للبقاء نشطة.
