ZachXBT veröffentlicht durchgesickerte Zahlungsdaten aus Nordkorea, die einen monatlichen Geldfluss von 1 Million US-Dollar von Kryptowährung in Fiat-Währung belegen

• ZachXBTs Untersuchung vom 8. April deckte einen Zahlungsserver für nordkoreanische IT-Mitarbeiter auf, über den seit Ende November 2025 Zahlungen in Höhe von über 3,5 Millionen US-Dollar abgewickelt wurden.
• Drei von der OFAC sanktionierte Unternehmen, Sobaeksu, Saenal und Songkwang, tauchten in der Liste der betroffenen Nutzer von luckyguys.site auf.
• Die interne Website der DVRK ging am 9. April 2026 offline, doch ZachXBT archivierte alle Daten, bevor er den 11-teiligen Thread veröffentlichte.

Nordkoreanische Hacker verwendeten das Standardpasswort „123456“ auf einem internen Krypto-Zahlungsserver

Die durchgesickerten Daten stammten vom Gerät eines nordkoreanischen IT-Mitarbeiters, das durch Infostealer-Malware kompromittiert worden war. Eine ungenannte Quelle teilte die Dateien mit ZachXBT, der bestätigte, dass das Material noch nie öffentlich veröffentlicht worden war. Die extrahierten Datensätze umfassten etwa 390 Konten, IPMsg-Chatprotokolle, erfundene Identitäten, den Browserverlauf und Aufzeichnungen von Kryptowährungstransaktionen.

Die interne Plattform, die im Mittelpunkt der Untersuchung stand, war luckyguys.site, intern auch als WebMsg bezeichnet. Sie fungierte als Messenger im Discord-Stil und ermöglichte es nordkoreanischen IT-Mitarbeitern, Zahlungen an ihre Vorgesetzten zu melden. Mindestens zehn Nutzer hatten das Standardpasswort, das auf „123456“ gesetzt war, nie geändert.

Die Benutzerliste enthielt Rollen, koreanische Namen, Städte und verschlüsselte Gruppennamen, die mit bekannten Operationen nordkoreanischer IT-Mitarbeiter übereinstimmen. Drei in der Liste aufgeführte Unternehmen – Sobaeksu, Saenal und Songkwang – stehen derzeit auf der Sanktionsliste des Office of Foreign Assets Control des US-Finanzministeriums.

Zahlungen wurden über ein zentrales Administratorkonto mit der Kennung PC-1234 bestätigt. ZachXBT teilte Beispiele für Direktnachrichten eines Nutzers mit dem Spitznamen „Rascal“, die Überweisungen im Zusammenhang mit betrügerischen Identitäten im Zeitraum von Dezember 2025 bis April 2026 detailliert darstellten. Einige Nachrichten verwiesen auf Adressen in Hongkong für Rechnungen und Waren, deren Echtheit jedoch nicht überprüft wurde.

Die zugehörigen Zahlungs-Wallet-Adressen erhielten in diesem Zeitraum mehr als 3,5 Millionen US-Dollar, was etwa 1 Million US-Dollar pro Monat entspricht. Die Mitarbeiter nutzten gefälschte Rechtsdokumente und falsche Identitäten, um eine Anstellung zu erhalten. Kryptowährungen wurden entweder direkt von Börsen überwiesen oder über chinesische Bankkonten mithilfe von Plattformen wie Payoneer in Fiat-Währung umgewandelt. Das Admin-Konto PC-1234 bestätigte anschließend den Erhalt und verteilte Zugangsdaten für verschiedene Krypto- und Fintech-Plattformen.

Eine On-Chain-Analyse verband die internen Zahlungsadressen mit bekannten Clustern von IT-Mitarbeitern aus Nordkorea. Zwei spezifische Adressen wurden identifiziert: eine Ethereum-Adresse und eine Tron-Adresse, die Tether im Dezember 2025 sperrte.

ZachXBT nutzte den vollständigen Datensatz, um die gesamte Organisationsstruktur des Netzwerks abzubilden, einschließlich der Zahlungssummen pro Nutzer und pro Gruppe. Er veröffentlichte ein interaktives Organigramm für den Zeitraum von Dezember 2025 bis Februar 2026 unter investigation.io/dprk-itw-breach, zugänglich mit dem Passwort „123456“.

Das kompromittierte Gerät und die Chat-Protokolle lieferten weitere Details. Die Mitarbeiter nutzten Astrill VPN und falsche Identitäten, um sich auf Stellen zu bewerben. Zu den internen Slack-Diskussionen gehörte ein Beitrag eines Nutzers namens „Nami“, der einen Blogbeitrag über einen Deepfake-Bewerber aus Nordkorea teilte. Der Administrator schickte den Mitarbeitern zwischen November 2025 und Februar 2026 außerdem 43 Schulungsmodule für Hex-Rays und IDA Pro, die sich mit Disassemblierung, Dekompilierung und Debugging befassten. Ein geteilter Link befasste sich speziell mit dem Entpacken bösartiger PE-Executables. Es wurde festgestellt, dass 33 nordkoreanische IT-Mitarbeiter über dasselbe IPMsg-Netzwerk kommunizierten. Separate Protokolleinträge verwiesen auf Pläne, mithilfe eines nigerianischen Proxys Daten von Arcano, einem GalaChain-Spiel, zu stehlen, wobei das Ergebnis dieser Bemühungen aus den Daten nicht ersichtlich war.

ZachXBT stufte diesen Cluster als operativ weniger ausgefeilt ein als hochrangige nordkoreanische Gruppen wie Applejeus oder Tradertraitor. Er hatte zuvor geschätzt, dass nordkoreanische IT-Mitarbeiter zusammen mehrere Millionen Dollar pro Monat erwirtschaften. Er merkte an, dass Gruppen der unteren Ebene wie diese für Angreifer attraktiv sind, da das Risiko gering und der Wettbewerb minimal ist.

Die Domain luckyguys.site ging am Donnerstag offline, einen Tag nachdem ZachXBT seine Erkenntnisse veröffentlicht hatte. Er bestätigte, dass der vollständige Datensatz archiviert wurde, bevor die Website abgeschaltet wurde. Die Untersuchung bietet einen direkten Einblick darin, wie Zellen nordkoreanischer IT-Mitarbeiter Zahlungen einziehen, falsche Identitäten aufrechterhalten und Geld über Krypto- und Fiat-Systeme bewegen, mit Unterlagen, die sowohl das Ausmaß als auch die operativen Lücken aufzeigen, auf die sich diese Gruppen stützen, um aktiv zu bleiben.