ZachXBT zveřejnil uniklé údaje o platbách ze Severní Koreje, které ukazují měsíční tok kryptoměn do fiat měn v hodnotě 1 milionu dolarů

Hlavní zjištění:

• Vyšetřování ZachaXBT ze dne 8. dubna odhalilo platební server IT pracovníků KLDR, který od konce listopadu 2025 zpracoval platby v hodnotě přes 3,5 milionu dolarů.
• Na seznamu uživatelů, který unikl z webu luckyguys.site, se objevily tři subjekty sankcionované OFAC: Sobaeksu, Saenal a Songkwang.
• Vnitřní web KLDR byl 9. dubna 2026 odpojen, ale ZachXBT archivoval všechna data před zveřejněním 11dílného vlákna.

Severokorejští hackeři používali na interním kryptoměnovém platebním serveru výchozí heslo „123456“

Uniklá data pocházela ze zařízení severokorejského IT pracovníka, které bylo napadeno malwarem typu infostealer. Nejménovaný zdroj sdílel soubory se ZachXBT, který potvrdil, že materiál nikdy nebyl veřejně zveřejněn. Extrahované záznamy zahrnovaly přibližně 390 účtů, záznamy chatu IPMsg, falešné identity, historii prohlížeče a záznamy o transakcích s kryptoměnami.

Interní platformou, která byla v centru vyšetřování, byl web luckyguys.site, interně označovaný také jako WebMsg. Fungoval jako messenger ve stylu Discord a umožňoval IT pracovníkům KLDR hlásit platby svým nadřízeným. Alespoň deset uživatelů nikdy nezměnilo výchozí heslo, které bylo nastaveno na „123456“.

Seznam uživatelů obsahoval role, korejská jména, města a kódovaná jména skupin, která odpovídala známým operacím IT pracovníků KLDR. Tři společnosti uvedené v seznamu, Sobaeksu, Saenal a Songkwang, jsou v současné době sankcionovány Úřadem pro kontrolu zahraničních aktiv Ministerstva financí USA.

Platby byly potvrzeny prostřednictvím centrálního administrátorského účtu označeného jako PC-1234. ZachXBT sdílel příklady přímých zpráv od uživatele s přezdívkou „Rascal“, které podrobně popisovaly převody spojené s podvodnými identitami v období od prosince 2025 do dubna 2026. Některé zprávy odkazovaly na hongkongské adresy pro faktury a zboží, ačkoli jejich pravost nebyla ověřena.

Související adresy platebních peněženek obdržely během tohoto období více než 3,5 milionu dolarů, což odpovídá zhruba 1 milionu dolarů měsíčně. Pracovníci používali padělané právní dokumenty a falešné identity, aby získali zaměstnání. Kryptoměny byly buď převáděny přímo z burz, nebo převáděny na fiat měnu prostřednictvím čínských bankovních účtů pomocí platforem jako Payoneer. Správcovský účet PC-1234 poté potvrdil přijetí a distribuoval přihlašovací údaje pro různé krypto a fintech platformy.

Analýza on-chain propojila interní platební adresy se známými skupinami IT pracovníků z KLDR. Byly identifikovány dvě konkrétní adresy: adresa Ethereum a adresa Tron, které společnost Tether zmrazila v prosinci 2025.

ZachXBT použil celý datový soubor k zmapování kompletní organizační struktury sítě, včetně celkových plateb na uživatele a na skupinu. Zveřejnil interaktivní organizační schéma pokrývající období od prosince 2025 do února 2026 na investigation.io/dprk-itw-breach, přístupné s heslem „123456“.

Z kompromitovaného zařízení a záznamů chatů vyplynuly další podrobnosti. Pracovníci používali VPN Astrill a falešné identity k podávání žádostí o práci. Interní diskuse na Slacku zahrnovaly příspěvek od uživatele jménem „Nami“, který sdílel blog o uchazeči o práci z KLDR vytvořeném pomocí deepfake. Správce také mezi listopadem 2025 a únorem 2026 poslal pracovníkům 43 školicích modulů Hex-Rays a IDA Pro, které pokrývaly disasemblaci, dekompilaci a ladění. Jeden sdílený odkaz se konkrétně zabýval rozbalováním škodlivých spustitelných souborů PE.
Bylo zjištěno, že třiatřicet IT pracovníků z KLDR komunikovalo prostřednictvím stejné sítě IPMsg. Samostatné záznamy v protokolech odkazovaly na plány krádeže z Arcano, hry GalaChain, pomocí nigerijského proxy serveru, ačkoli výsledek tohoto úsilí nebyl z údajů jasný.

ZachXBT charakterizoval tento klastr jako operativně méně sofistikovaný než skupiny z KLDR vyšší úrovně, jako jsou Applejeus nebo Tradertraitor. Dříve odhadoval, že IT pracovníci z KLDR společně vydělávají několik set tisíc dolarů měsíčně. Poznamenal, že skupiny nižší úrovně, jako je tato, přitahují útočníky, protože riziko je nízké a konkurence minimální.

Doména luckyguys.site byla ve čtvrtek, den poté, co ZachXBT zveřejnil své zjištění, odstavena. Potvrdil, že kompletní datový soubor byl archivován předtím, než byla stránka odstraněna.

Vyšetřování nabízí přímý pohled na to, jak buňky IT pracovníků z KLDR vybírají platby, udržují falešné identity a přesouvají peníze prostřednictvím kryptoměnových a fiatových systémů, a to s dokumentací, která ukazuje jak rozsah, tak operační mezery, na které se tyto skupiny spoléhají, aby zůstaly aktivní.