ZachXBT publica datos filtrados sobre pagos de la RPDC que revelan un flujo mensual de 1 millón de dólares de criptomonedas a moneda fiduciaria

• La investigación de ZachXBT del 8 de abril sacó a la luz un servidor de pagos de los trabajadores de TI de la RPDC que procesó más de 3,5 millones de dólares desde finales de noviembre de 2025.
• Tres entidades sancionadas por la OFAC, Sobaeksu, Saenal y Songkwang, aparecieron en la lista de usuarios filtrada de luckyguys.site.
• El sitio interno de la RPDC dejó de estar disponible el 9 de abril de 2026, pero ZachXBT archivó todos los datos antes de publicar el hilo de 11 partes.

Los hackers norcoreanos utilizaron la contraseña predeterminada «123456» en un servidor interno de pagos criptográficos

Los datos filtrados procedían del dispositivo de un trabajador de TI de la RPDC comprometido por un malware de robo de información. Una fuente anónima compartió los archivos con ZachXBT, quien confirmó que el material nunca se había hecho público. Los registros extraídos incluían aproximadamente 390 cuentas, registros de chat de IPMsg, identidades falsas, historial del navegador y registros de transacciones de criptomonedas.

La plataforma interna en el centro de la investigación era luckyguys.site, también conocida internamente como WebMsg. Funcionaba como un servicio de mensajería al estilo de Discord, permitiendo a los trabajadores de TI de la RPDC informar de los pagos a sus supervisores. Al menos diez usuarios nunca habían cambiado la contraseña predeterminada, que estaba establecida en «123456».

La lista de usuarios contenía roles, nombres coreanos, ciudades y nombres de grupos codificados que coincidían con las operaciones conocidas de los trabajadores de TI de la RPDC. Tres empresas que aparecen en la lista, Sobaeksu, Saenal y Songkwang, están actualmente sancionadas por la Oficina de Control de Activos Extranjeros del Tesoro de EE. UU.

Los pagos se confirmaron a través de una cuenta de administrador central identificada como PC-1234. ZachXBT compartió ejemplos de mensajes directos de un usuario apodado «Rascal», que detallaban transferencias vinculadas a identidades fraudulentas entre diciembre de 2025 y abril de 2026. Algunos mensajes hacían referencia a direcciones de Hong Kong para facturas y mercancías, aunque no se verificó su autenticidad.

Las direcciones de monedero de pago asociadas recibieron más de 3,5 millones de dólares durante ese periodo, lo que equivale a aproximadamente 1 millón de dólares al mes. Los trabajadores utilizaron documentos legales falsificados e identidades falsas para conseguir empleo. Las criptomonedas se transferían directamente desde las plataformas de intercambio o se convertían a moneda fiduciaria a través de cuentas bancarias chinas utilizando plataformas como Payoneer. La cuenta de administrador PC-1234 confirmaba entonces la recepción y distribuía credenciales para diversas plataformas de criptomonedas y fintech.

El análisis on-chain vinculó las direcciones de pago internas a grupos conocidos de trabajadores de TI de la RPDC. Se identificaron dos direcciones específicas: una dirección de Ethereum y una de Tron que Tether congeló en diciembre de 2025.

ZachXBT utilizó el conjunto de datos completo para trazar la estructura organizativa completa de la red, incluyendo los totales de pagos por usuario y por grupo. Publicó un organigrama interactivo que abarca desde diciembre de 2025 hasta febrero de 2026 en investigation.io/dprk-itw-breach, accesible con la contraseña «123456».

El dispositivo comprometido y los registros de chat proporcionaron detalles adicionales. Los trabajadores utilizaban Astrill VPN e identidades falsas para solicitar puestos de trabajo. Las conversaciones internas en Slack incluían una publicación de un usuario llamado «Nami» en la que compartía un blog sobre un solicitante de empleo de la RPDC que era un deepfake. El administrador también envió 43 módulos de formación de Hex-Rays e IDA Pro a los trabajadores entre noviembre de 2025 y febrero de 2026, que abarcaban el desensamblaje, la descompilación y la depuración. Un enlace compartido abordaba específicamente el descomprimir ejecutables PE hostiles. Se descubrió que treinta y tres trabajadores de TI de la RPDC se comunicaban a través de la misma red IPMsg. Otras entradas de registro hacían referencia a planes para robar a Arcano, un juego de GalaChain, utilizando un proxy nigeriano, aunque el resultado de ese esfuerzo no quedaba claro a partir de los datos.

ZachXBT calificó a este grupo como menos sofisticado desde el punto de vista operativo que otros grupos de la RPDC de mayor nivel, como Applejeus o Tradertraitor. Anteriormente había estimado que los trabajadores de TI de la RPDC generan colectivamente varios millones al mes. Señaló que los grupos de bajo nivel como este atraen a los actores maliciosos porque el riesgo es bajo y la competencia es mínima.

El dominio luckyguys.site dejó de estar disponible el jueves, el día después de que ZachXBT publicara sus hallazgos. Confirmó que el conjunto de datos completo se archivó antes de que se cerrara el sitio. La investigación ofrece una visión directa de cómo las células de trabajadores de TI de la RPDC recaudan pagos, mantienen identidades falsas y mueven dinero a través de sistemas criptográficos y fiduciarios, con documentación que muestra tanto la escala como las lagunas operativas de las que dependen estos grupos para mantenerse activos.