زک‌اکس‌بی‌تی داده‌های افشاشده پرداخت کره شمالی را منتشر کرد که خط لوله ماهانه ۱ میلیون دلاری تبدیل کریپتو به فیات را نشان می‌دهد

نکات کلیدی:

• تحقیق ۸ آوریل ZachXBT یک سرور پرداخت کارگران IT وابسته به DPRK را افشا کرد که از اواخر نوامبر ۲۰۲۵ بیش از ۳.۵ میلیون دلار را پردازش کرده بود.
• سه نهاد تحریم‌شده توسط OFAC شامل Sobaeksu، Saenal و Songkwang در فهرست کاربران رخنه‌کرده از luckyguys.site دیده شدند.
• سایت داخلی DPRK در ۹ آوریل ۲۰۲۶ از دسترس خارج شد، اما ZachXBT پیش از انتشار رشته‌توییت ۱۱ قسمتی، تمام داده‌ها را آرشیو کرده بود.

هکرهای کره شمالی روی سرور داخلی پرداخت کریپتو از رمز عبور پیش‌فرض «123456» استفاده کرده بودند

داده‌های درزکرده از دستگاهِ یک کارگر IT وابسته به DPRK به‌دست آمد که با بدافزار سرقت‌اطلاعات (infostealer) آلوده شده بود. یک منبع نامشخص فایل‌ها را با ZachXBT به اشتراک گذاشت و او تأیید کرد که این محتوا پیش‌تر هرگز به‌صورت عمومی منتشر نشده بود. سوابق استخراج‌شده شامل حدود ۳۹۰ حساب، لاگ‌های چت IPMsg، هویت‌های ساختگی، تاریخچه مرورگر و سوابق تراکنش‌های ارز دیجیتال بود.

پلتفرم داخلیِ محوریِ این تحقیق luckyguys.site بود که در داخل از آن با نام WebMsg نیز یاد می‌شد. این پلتفرم مانند یک پیام‌رسان به سبک دیسکورد عمل می‌کرد و به کارگران IT DPRK اجازه می‌داد پرداخت‌ها را به گردانندگان خود گزارش کنند. دست‌کم ده کاربر هرگز رمز عبور پیش‌فرض را تغییر نداده بودند؛ رمزی که روی «123456» تنظیم شده بود.

فهرست کاربران شامل نقش‌ها، نام‌های کره‌ای، شهرها و نام‌های گروهیِ کدگذاری‌شده‌ای بود که با عملیات‌های شناخته‌شده کارگران IT وابسته به DPRK همخوانی داشت. سه شرکتی که در این فهرست دیده می‌شدند—Sobaeksu، Saenal و Songkwang—در حال حاضر توسط دفتر کنترل دارایی‌های خارجی وزارت خزانه‌داری آمریکا (OFAC) تحریم شده‌اند.

پرداخت‌ها از طریق یک حساب ادمین مرکزی با شناسه PC-1234 تأیید می‌شد. ZachXBT نمونه‌هایی از پیام‌های مستقیم یک کاربر با لقب «Rascal» را به اشتراک گذاشت که انتقال‌هایی مرتبط با هویت‌های جعلی را از دسامبر ۲۰۲۵ تا آوریل ۲۰۲۶ شرح می‌داد. برخی پیام‌ها به نشانی‌های هنگ‌کنگ برای قبض‌ها و کالاها اشاره داشتند، هرچند اصالت آن‌ها تأیید نشد.

نشانی‌های کیف‌پول مرتبط با پرداخت‌ها در آن بازه بیش از ۳.۵ میلیون دلار دریافت کردند که معادل حدود ۱ میلیون دلار در ماه است. کارگران از اسناد قانونی جعلی و هویت‌های ساختگی برای به‌دست آوردن شغل استفاده می‌کردند. کریپتو یا مستقیماً از صرافی‌ها منتقل می‌شد یا از طریق حساب‌های بانکی چینی و با استفاده از پلتفرم‌هایی مانند Payoneer به پول فیات تبدیل می‌گردید. سپس حساب ادمین PC-1234 دریافت را تأیید می‌کرد و اطلاعات ورود برای پلتفرم‌های مختلف کریپتو و فین‌تک را توزیع می‌نمود.

تحلیل آن‌چین، نشانی‌های پرداخت داخلی را به خوشه‌های شناخته‌شده کارگران IT وابسته به DPRK مرتبط کرد. دو نشانی مشخص شناسایی شد: یک نشانی اتریوم و یک نشانی ترون که تتر در دسامبر ۲۰۲۵ آن را مسدود کرده بود.

ZachXBT از مجموعه‌داده کامل برای ترسیم ساختار سازمانی کامل این شبکه استفاده کرد؛ از جمله مجموع پرداخت‌ها به ازای هر کاربر و هر گروه. او یک نمودار سازمانی تعاملی را که دسامبر ۲۰۲۵ تا فوریه ۲۰۲۶ را پوشش می‌داد در investigation.io/dprk-itw-breach منتشر کرد که با رمز عبور «123456» قابل دسترسی است.

دستگاهِ به‌خطر افتاده و لاگ‌های چت جزئیات بیشتری نیز ارائه کردند. کارگران از VPN شرکت Astrill و شخصیت‌های جعلی برای درخواست شغل استفاده می‌کردند. بحث‌های داخلی در Slack شامل پستی از کاربری به نام «Nami» بود که وبلاگی درباره یک متقاضی دیپ‌فیکِ وابسته به DPRK را به اشتراک گذاشته بود. ادمین همچنین بین نوامبر ۲۰۲۵ تا فوریه ۲۰۲۶ تعداد ۴۳ ماژول آموزشی Hex-Rays و IDA Pro را برای کارگران ارسال کرد که مباحث دیس‌اسمبلی، دیکامپایل و دیباگ را پوشش می‌داد. یکی از لینک‌های به‌اشتراک‌گذاشته‌شده به‌طور مشخص به باز کردن بسته (unpacking) فایل‌های اجرایی خصمانه PE می‌پرداخت.

مشخص شد ۳۳ کارگر IT وابسته به DPRK از طریق همان شبکه IPMsg با یکدیگر ارتباط برقرار می‌کردند. لاگ‌های جداگانه به برنامه‌هایی برای سرقت از Arcano، یک بازی GalaChain، با استفاده از یک پروکسی نیجریه‌ای اشاره داشتند، هرچند نتیجه آن تلاش از داده‌ها روشن نبود.

ZachXBT این خوشه را از نظر عملیاتی کم‌تجربه‌تر از گروه‌های رده‌بالای DPRK مانند Applejeus یا Tradertraitor توصیف کرد. او پیش‌تر برآورد کرده بود که کارگران IT وابسته به DPRK در مجموع ماهانه چندین رقم هفت‌رقمی درآمد تولید می‌کنند. او خاطرنشان کرد که گروه‌های رده‌پایین مانند این مورد برای عاملان تهدید جذاب هستند، زیرا ریسک پایین و رقابت حداقلی است.

دامنه luckyguys.site روز پنج‌شنبه، یعنی یک روز پس از انتشار یافته‌های ZachXBT، از دسترس خارج شد. او تأیید کرد که پیش از پایین کشیده شدن سایت، کل مجموعه‌داده آرشیو شده بود.

این تحقیق نمایی مستقیم از نحوه جمع‌آوری پرداخت‌ها توسط سلول‌های کارگران IT وابسته به DPRK، نگهداری هویت‌های جعلی و جابه‌جایی پول در سامانه‌های کریپتو و فیات ارائه می‌دهد و با مستنداتی نشان می‌دهد هم مقیاس فعالیت و هم شکاف‌های عملیاتی که این گروه‌ها برای فعال ماندن به آن تکیه می‌کنند چگونه است.