ZachXBT julkaisee vuotaneita Pohjois-Korean maksutietoja, jotka paljastavat miljoonan dollarin kuukausittaisen kryptovaluutta-fiat-rahojen siirron

Tärkeimmät havainnot:

• ZachXBT:n 8. huhtikuuta julkaistu tutkimus paljasti Pohjois-Korean IT-työntekijöiden maksupalvelimen, joka oli käsitellyt yli 3,5 miljoonaa dollaria marraskuun lopusta 2025 lähtien.
• Kolme OFAC:n pakotteiden kohteena olevaa tahoa, Sobaeksu, Saenal ja Songkwang, esiintyivät luckyguys.site-sivuston vuotaneessa käyttäjäluettelossa.
• Pohjois-Korean sisäinen sivusto suljettiin 9. huhtikuuta 2026, mutta ZachXBT arkistoi kaikki tiedot ennen 11-osaisen ketjun julkaisemista.

Pohjoiskorealaiset hakkerit käyttivät oletussalasanaa ”123456” sisäisessä kryptomaksupalvelimessa

Vuotaneet tiedot olivat peräisin Pohjois-Korean IT-työntekijän laitteelta, joka oli vaarantunut tietojen varastamiseen tarkoitetun haittaohjelman vuoksi. Nimetön lähde jakoi tiedostot ZachXBT:lle, joka vahvisti, ettei materiaalia ollut koskaan julkaistu julkisesti. Uutetuissa tiedoissa oli noin 390 tiliä, IPMsg-chat-lokit, keksittyjä henkilöllisyyksiä, selaushistoriaa ja kryptovaluuttatapahtumien tietoja.

Tutkimuksen keskiössä ollut sisäinen alusta oli luckyguys.site, jota kutsuttiin sisäisesti myös nimellä WebMsg. Se toimi Discord-tyylisenä viestintäsovelluksena, jonka avulla Pohjois-Korean IT-työntekijät pystyivät raportoimaan maksuistaan käsittelijöilleen. Ainakin kymmenen käyttäjää ei ollut koskaan vaihtanut oletussalasanaa, joka oli asetettu arvoksi ”123456”.

Käyttäjälista sisälsi rooleja, korealaisia nimiä, kaupunkeja ja koodattuja ryhmänimiä, jotka vastasivat tunnettuja Pohjois-Korean IT-työntekijöiden operaatioita. Kolme listalla esiintyvää yritystä, Sobaeksu, Saenal ja Songkwang, ovat tällä hetkellä Yhdysvaltain valtiovarainministeriön ulkomaisten varojen valvontaviraston (OFAC) pakotteiden kohteena.

Maksut vahvistettiin keskitetyllä järjestelmänvalvojan tilillä, joka tunnistettiin nimellä PC-1234. ZachXBT jakoi esimerkkejä suorista viesteistä käyttäjältä, jonka lempinimi oli "Rascal". Viesteissä kuvattiin yksityiskohtaisesti petollisiin henkilöllisyyksiin liittyviä siirtoja joulukuusta 2025 huhtikuuhun 2026. Joissakin viesteissä viitattiin Hongkongin osoitteisiin laskujen ja tavaroiden osalta, vaikka niiden aitoutta ei ole vahvistettu.

Kyseisiin maksulompakko-osoitteisiin saapui kyseisenä aikana yli 3,5 miljoonaa dollaria, mikä vastaa noin miljoonaa dollaria kuukaudessa. Työntekijät käyttivät väärennettyjä oikeudellisia asiakirjoja ja vääriä henkilöllisyyksiä saadakseen työpaikan. Kryptovaluutta siirrettiin joko suoraan pörsseistä tai vaihdettiin fiat-valuutaksi kiinalaisten pankkitilien kautta Payoneerin kaltaisten alustojen avulla. Hallintotili PC-1234 vahvisti sitten vastaanoton ja jakoi tunnukset erilaisille krypto- ja fintech-alustoille.

Onchain-analyysi yhdisti sisäiset maksuosoitteet tunnettuihin Pohjois-Korean IT-työntekijöiden ryhmiin. Kaksi tiettyä osoitetta tunnistettiin: Ethereum-osoite ja Tron-osoite, jotka Tether jäädytti joulukuussa 2025.

ZachXBT käytti koko tietojoukkoa kartoittaakseen verkon täydellisen organisaatiorakenteen, mukaan lukien maksusummat käyttäjää ja ryhmää kohden. Hän julkaisi interaktiivisen organisaatiokaavion, joka kattaa ajanjakson joulukuusta 2025 helmikuuhun 2026 osoitteessa investigation.io/dprk-itw-breach, johon pääsee salasanalla "123456".

Vaarantunut laite ja chat-lokit tuottivat lisätietoja. Työntekijät käyttivät Astrill VPN:ää ja vääriä henkilöllisyyksiä hakiessaan töitä. Sisäisissä Slack-keskusteluissa oli viesti käyttäjältä nimeltä "Nami", joka jakoi blogin Pohjois-Korean työntekijän deepfake-hakijasta. Järjestelmänvalvoja lähetti myös 43 Hex-Rays- ja IDA Pro -koulutusmoduulia työntekijöille marraskuun 2025 ja helmikuun 2026 välillä, jotka käsittelivät purkamista, dekompilaatiota ja virheenkorjausta. Yksi jaettu linkki käsitteli nimenomaan vihamielisten PE-suoritustiedostojen purkamista.

Kolmekymmentäkolme Pohjois-Korean IT-työntekijää havaittiin kommunikoivan saman IPMsg-verkon kautta. Erillisissä lokimerkinnöissä viitattiin suunnitelmiin varastaa Arcano-peliltä, joka on GalaChain-peli, käyttämällä nigerialaista välityspalvelinta, vaikka kyseisen yrityksen lopputulos ei käynyt selväksi tiedoista.

ZachXBT luonnehti tätä klusteria toiminnallisesti vähemmän kehittyneeksi kuin korkeamman tason Pohjois-Korean ryhmiä, kuten Applejeus tai Tradertraitor. Hän arvioi aiemmin, että Pohjois-Korean IT-työntekijät tuottavat yhdessä useita miljoonia kuukaudessa. Hän totesi, että tämän kaltaiset alemman tason ryhmät houkuttelevat uhkatekijöitä, koska riski on pieni ja kilpailu vähäistä.

Luckyguys.site-verkkotunnus suljettiin torstaina, päivää sen jälkeen, kun ZachXBT julkaisi havainnot. Hän vahvisti, että koko tietokanta oli arkistoitu ennen sivuston sulkemista.

Tutkimus tarjoaa suoran näkymän siihen, miten Pohjois-Korean IT-työntekijöiden solut keräävät maksuja, ylläpitävät vääriä henkilöllisyyksiä ja siirtävät rahaa kryptovaluutta- ja fiat-järjestelmien kautta. Siinä on dokumentaatiota, joka osoittaa sekä näiden ryhmien toiminnan laajuuden että operatiiviset aukot, joihin ne luottavat pysyäkseen aktiivisina.