ZachXBT offentliggør lækkede betalingsdata fra Nordkorea, der afslører en månedlig strøm på 1 million dollar fra kryptovaluta til fiat-valuta

Hovedpunkter:

• ZachXBT's undersøgelse fra 8. april afslørede en betalingsserver for nordkoreanske IT-medarbejdere, der havde behandlet over 3,5 millioner dollars siden slutningen af november 2025.
• Tre enheder, der er underlagt OFAC-sanktioner, nemlig Sobaeksu, Saenal og Songkwang, optrådte på listen over brugere, der var blevet kompromitteret, fra luckyguys.site.
• Det interne nordkoreanske websted gik offline den 9. april 2026, men ZachXBT arkiverede alle data, inden han offentliggjorde den 11-delte tråd.

Nordkoreanske hackere brugte standardadgangskoden '123456' på en intern kryptovaluta-betalingsserver

De lækkede data stammede fra en nordkoreansk IT-medarbejders enhed, der var blevet kompromitteret af infostealer-malware. En unavngiven kilde delte filerne med ZachXBT, der bekræftede, at materialet aldrig tidligere var blevet offentliggjort. De udtrukne optegnelser omfattede ca. 390 konti, IPMsg-chatlogs, opdigtede identiteter, browserhistorik og transaktionsoptegnelser for kryptovaluta.

Den interne platform, der var i centrum for efterforskningen, var luckyguys.site, også internt benævnt WebMsg. Den fungerede som en Discord-lignende messenger, der gjorde det muligt for nordkoreanske IT-medarbejdere at rapportere betalinger til deres kontaktpersoner. Mindst ti brugere havde aldrig ændret standardadgangskoden, som var indstillet til "123456".

Brugerlisten indeholdt roller, koreanske navne, byer og kodede gruppenavne, der stemmer overens med kendte operationer udført af nordkoreanske IT-medarbejdere. Tre virksomheder, der optræder på listen, Sobaeksu, Saenal og Songkwang, er i øjeblikket underlagt sanktioner fra det amerikanske finansministeriums Office of Foreign Assets Control.

Betalingerne blev bekræftet via en central administratorkonto identificeret som PC-1234. ZachXBT delte eksempler på direkte beskeder fra en bruger med kælenavnet "Rascal", som detaljeret beskrev overførsler knyttet til falske identiteter fra december 2025 til april 2026. Nogle beskeder henviste til adresser i Hongkong for regninger og varer, selvom deres ægthed ikke blev verificeret.

De tilknyttede betalingswallet-adresser modtog mere end 3,5 millioner dollars i den periode, hvilket svarer til cirka 1 million dollars om måneden. Arbejdstagerne brugte forfalskede juridiske dokumenter og falske identiteter for at få ansættelse. Kryptovaluta blev enten overført direkte fra børser eller konverteret til fiat via kinesiske bankkonti ved hjælp af platforme som Payoneer. Administratorkontoen PC-1234 bekræftede derefter modtagelsen og distribuerede loginoplysninger til forskellige krypto- og fintech-platforme.

Onchain-analyse knyttede de interne betalingsadresser til kendte grupper af nordkoreanske IT-medarbejdere. To specifikke adresser blev identificeret: en Ethereum-adresse og en Tron-adresse, som Tether frøs i december 2025.

ZachXBT brugte det fulde datasæt til at kortlægge netværkets komplette organisationsstruktur, herunder betalingsbeløb pr. bruger og pr. gruppe. Han offentliggjorde et interaktivt organisationsdiagram, der dækker perioden fra december 2025 til februar 2026 på investigation.io/dprk-itw-breach, som kan tilgås med adgangskoden "123456."

Den kompromitterede enhed og chatlogfilerne frembragte yderligere detaljer. Medarbejderne brugte Astrill VPN og falske identiteter til at søge job. Interne Slack-diskussioner omfattede et indlæg fra en bruger ved navn "Nami", der delte en blog om en nordkoreansk medarbejder, der havde ansøgt med deepfake. Administratoren sendte også 43 Hex-Rays- og IDA Pro-træningsmoduler til medarbejderne mellem november 2025 og februar 2026, der dækkede disassembling, dekompilering og fejlfinding. Et delt link omhandlede specifikt udpakning af ondsindede PE-eksekverbare filer.

Tretitre nordkoreanske IT-medarbejdere blev fundet i at kommunikere via det samme IPMsg-netværk. Separate logindtastninger henviste til planer om at stjæle fra Arcano, et GalaChain-spil, ved hjælp af en nigeriansk proxy, selvom resultatet af denne indsats ikke fremgik klart af dataene.

ZachXBT karakteriserede denne gruppe som mindre operationelt sofistikeret end højere rangerede nordkoreanske grupper såsom Applejeus eller Tradertraitor. Han havde tidligere anslået, at nordkoreanske IT-medarbejdere samlet genererer flere millioner om måneden. Han bemærkede, at lavtstående grupper som denne tiltrækker trusselsaktører, fordi risikoen er lav, og konkurrencen er minimal.

Domænet luckyguys.site gik offline torsdag, dagen efter at ZachXBT offentliggjorde sine fund. Han bekræftede, at det fulde datasæt blev arkiveret, før siden blev taget ned.

Undersøgelsen giver et direkte indblik i, hvordan nordkoreanske IT-medarbejderceller indsamler betalinger, opretholder falske identiteter og flytter penge gennem krypto- og fiat-systemer, med dokumentation, der viser både omfanget og de operationelle huller, som disse grupper er afhængige af for at forblive aktive.