Blockchaini uurija ZachXBT avaldas 8. aprillil 2026. aastal 11-osalise postituste jada, milles avalikustas Põhja-Korea IT-töötajate kasutatavast sisemisest makseserverist varastatud andmed, millest selgus, et alates 2025. aasta novembri lõpust on seal töödeldud makseid üle 3,5 miljoni dollari ulatuses.
ZachXBT avaldas lekkinud Põhja-Korea makseandmed, millest selgub, et igakuine krüptovaluuta-fiat-raha voog ulatub 1 miljoni dollarini
KIRJUTAS
JAGA
Peamised järeldused:
- ZachXBT 8. aprilli uurimus paljastas Põhja-Korea IT-töötajate makseserveri, mis oli alates 2025. aasta novembri lõpust töötlenud üle 3,5 miljoni dollari.
- Kolm OFACi sanktsioonide alla kuuluvat üksust – Sobaeksu, Saenal ja Songkwang – ilmusid luckyguys.site'i avaldatud rikkumise ohvrite nimekirjas.
- Põhja-Korea sisemine veebisait läks 9. aprillil 2026. aastal offline'i, kuid ZachXBT arhiveeris kõik andmed enne 11-osalise teemakäigu avaldamist.
Põhja-Korea häkkerid kasutasid sisemisel krüptomaksete serveril vaikimisi parooli „123456”
Lekkinud andmed pärinesid Põhja-Korea IT-töötaja seadmest, mis oli nakatunud infostealer-pahavaraga. Nimetu allikas jagas faile ZachXBT-ga, kes kinnitas, et materjali pole kunagi avalikult avaldatud. Väljavõetud andmed sisaldasid ligikaudu 390 kontot, IPMsg-vestluslogisid, väljamõeldud identiteete, brauseri ajalugu ja krüptovaluuta tehingute andmeid.
Uurimise keskmes olev sisemine platvorm oli luckyguys.site, mida sisemiselt nimetati ka WebMsg-ks. See toimis Discordi-stiilis sõnumivahetusrakendusena, võimaldades Põhja-Korea IT-töötajatel teatada maksetest oma käsutajatele. Vähemalt kümme kasutajat ei olnud kunagi muutnud vaikimisi parooli, mis oli seatud „123456”.
Kasutajate nimekiri sisaldas rolle, korea nimesid, linnu ja kodeeritud rühmanimesid, mis vastasid teadaolevatele Põhja-Korea IT-töötajate operatsioonidele. Kolm nimekirjas esinevat ettevõtet – Sobaeksu, Saenal ja Songkwang – on praegu USA rahandusministeeriumi välisvarade kontrolli ameti poolt sanktsioonide all.
Maksed kinnitati keskse administraatori konto kaudu, mille tunnuseks oli PC-1234. ZachXBT jagas näiteid otsepostitustest kasutajalt, kelle hüüdnimi oli „Rascal“, milles kirjeldati üksikasjalikult pettusega seotud identiteetidega seotud ülekandeid ajavahemikus detsembrist 2025 kuni aprillini 2026. Mõnes sõnumis viidati arvetele ja kaupadele Hongkongi aadressidele, kuigi nende autentsust ei kontrollitud.
Seotud makse rahakoti aadressidele laekus sel perioodil üle 3,5 miljoni dollari, mis teeb umbes 1 miljon dollarit kuus. Töötajad kasutasid töökoha saamiseks võltsitud juriidilisi dokumente ja võltsidentiteete. Krüptovaluuta kanti üle kas otse börsidelt või konverteeriti fiat-raha Hiina pangakontode kaudu, kasutades platvorme nagu Payoneer. Haldajakonto PC-1234 kinnitas seejärel laekumise ja jagas kasutajatunnuseid erinevatele krüptovaluuta- ja fintech-platvormidele.
Onchain-analüüs seostas sisemised makseadressid Põhja-Korea IT-töötajate teadaolevate rühmadega. Identifitseeriti kaks konkreetset aadressi: Ethereumi aadress ja Troni aadress, mille Tether külmutas 2025. aasta detsembris.
ZachXBT kasutas kogu andmekogumit, et kaardistada võrgustiku täielik organisatsiooniline struktuur, sealhulgas makse kogusummad kasutaja ja rühma kohta. Ta avaldas interaktiivse organisatsiooniskeemi, mis hõlmab ajavahemikku detsembrist 2025 kuni veebruarini 2026 aadressil investigation.io/dprk-itw-breach, millele pääseb ligi parooliga „123456”.
Ohustatud seade ja vestluslogid andsid täiendavaid üksikasju. Töötajad kasutasid tööle kandideerimiseks Astrill VPN-i ja võltsidentiteete. Sisemistes Slacki aruteludes oli postitus kasutajalt nimega „Nami”, kes jagas blogi Põhja-Korea töötaja deepfake-kandidaadi kohta. Admin saatis töötajatele novembrist 2025 kuni veebruarini 2026 ka 43 Hex-Raysi ja IDA Pro koolitusmoodulit, mis hõlmasid lahtimonteerimist, dekompileerimist ja veaparandamist. Üks jagatud link käsitles konkreetselt vaenulike PE-käivitatavate failide lahtipakkimist.
Leiti, et 33 Põhja-Korea IT-töötajat suhtlesid sama IPMsg-võrgu kaudu. Erinevad logikirjed viitasid plaanidele varastada GalaChaini mängust Arcano, kasutades Nigeeria proksit, kuigi selle püüdluse tulemus andmetest selgeks ei tulnud.
ZachXBT iseloomustas seda klastrit operatiivsel tasandil vähem arenenuna kui kõrgemal tasemel Põhja-Korea rühmitusi, nagu Applejeus või Tradertraitor. Ta oli varem hinnanud, et Põhja-Korea IT-töötajad teenivad kokku mitu seitsmekohalist summat kuus. Ta märkis, et sellised madalama taseme rühmitused meelitavad ligi ohu tekitajaid, kuna risk on madal ja konkurents minimaalne.
Krüptovaluuta-sularahaautomaatide hiiglane teatas küberrünnaku tagajärjel toimunud 3,7 miljoni dollari suuruse bitcoini vargusest
Bitcoin Depot sai 3,665 miljoni dollari suuruse küberrünnaku osaliseks. Ettevõtte sõnul ei ohustanud rikkumine klientide andmeid ega sularahaautomaatide tööd. read more.
Loe nüüd
Krüptovaluuta-sularahaautomaatide hiiglane teatas küberrünnaku tagajärjel toimunud 3,7 miljoni dollari suuruse bitcoini vargusest
Bitcoin Depot sai 3,665 miljoni dollari suuruse küberrünnaku osaliseks. Ettevõtte sõnul ei ohustanud rikkumine klientide andmeid ega sularahaautomaatide tööd. read more.
Loe nüüdKrüptovaluuta-sularahaautomaatide hiiglane teatas küberrünnaku tagajärjel toimunud 3,7 miljoni dollari suuruse bitcoini vargusest
Loe nüüdBitcoin Depot sai 3,665 miljoni dollari suuruse küberrünnaku osaliseks. Ettevõtte sõnul ei ohustanud rikkumine klientide andmeid ega sularahaautomaatide tööd. read more.
Domeen luckyguys.site võeti maha neljapäeval, päev pärast seda, kui ZachXBT avaldas oma järeldused. Ta kinnitas, et kogu andmekogum arhiveeriti enne veebisaidi sulgemist.
Uurimine pakub otsest ülevaadet sellest, kuidas Põhja-Korea IT-töötajate rühmad koguvad makseid, hoiavad alal võltsidentiteete ja liigutavad raha krüptovaluuta- ja fiat-süsteemide kaudu, koos dokumentatsiooniga, mis näitab nii nende rühmade tegevuse ulatust kui ka operatiivseid lünki, millele nad toetuvad, et aktiivseks jääda.
