ZachXBT publie des données divulguées sur les paiements en Corée du Nord, révélant un flux mensuel d'un million de dollars entre cryptomonnaies et monnaies fiduciaires

• L'enquête menée par ZachXBT le 8 avril a mis au jour un serveur de paiement destiné aux informaticiens nord-coréens qui a traité plus de 3,5 millions de dollars depuis fin novembre 2025.
• Trois entités sanctionnées par l'OFAC, Sobaeksu, Saenal et Songkwang, figuraient dans la liste des utilisateurs piratée provenant du site luckyguys.site.
• Le site interne nord-coréen a été mis hors ligne le 9 avril 2026, mais ZachXBT a archivé toutes les données avant de publier le fil de discussion en 11 parties.

Des hackers nord-coréens ont utilisé le mot de passe par défaut « 123456 » sur un serveur de paiement cryptographique interne

Les données divulguées provenaient de l'appareil d'un informaticien nord-coréen compromis par un logiciel malveillant de type infostealer. Une source anonyme a partagé les fichiers avec ZachXBT, qui a confirmé que ces informations n'avaient jamais été rendues publiques. Les enregistrements extraits comprenaient environ 390 comptes, des journaux de discussion IPMsg, des identités fictives, l'historique de navigation et des enregistrements de transactions en cryptomonnaie.

La plateforme interne au centre de l'enquête était luckyguys.site, également appelée en interne WebMsg. Elle fonctionnait comme une messagerie de type Discord, permettant aux informaticiens nord-coréens de signaler les paiements à leurs responsables. Au moins dix utilisateurs n'avaient jamais changé le mot de passe par défaut, qui était défini sur « 123456 ».

La liste des utilisateurs contenait des rôles, des noms coréens, des villes et des noms de groupes codés correspondant aux opérations connues des informaticiens nord-coréens. Trois sociétés figurant sur la liste, Sobaeksu, Saenal et Songkwang, sont actuellement sanctionnées par le Bureau du contrôle des avoirs étrangers (OFAC) du Trésor américain.

Les paiements ont été confirmés via un compte administrateur central identifié comme PC-1234. ZachXBT a partagé des exemples de messages privés provenant d’un utilisateur surnommé « Rascal », qui détaillaient des transferts liés à des identités frauduleuses couvrant la période de décembre 2025 à avril 2026. Certains messages faisaient référence à des adresses à Hong Kong pour des factures et des marchandises, bien que leur authenticité n’ait pas été vérifiée.

Les adresses de portefeuille de paiement associées ont reçu plus de 3,5 millions de dollars au cours de cette période, soit environ 1 million de dollars par mois. Les travailleurs utilisaient des documents juridiques falsifiés et de fausses identités pour obtenir un emploi. Les cryptomonnaies étaient soit transférées directement depuis des bourses, soit converties en monnaie fiduciaire via des comptes bancaires chinois à l'aide de plateformes telles que Payoneer. Le compte administrateur PC-1234 confirmait ensuite la réception et distribuait les identifiants pour diverses plateformes de cryptomonnaies et de fintech.

Une analyse on-chain a permis de relier les adresses de paiement internes à des groupes connus de travailleurs informatiques nord-coréens. Deux adresses spécifiques ont été identifiées : une adresse Ethereum et une adresse Tron que Tether a gelées en décembre 2025.

ZachXBT a utilisé l'ensemble des données pour cartographier la structure organisationnelle complète du réseau, y compris les montants totaux des paiements par utilisateur et par groupe. Il a publié un organigramme interactif couvrant la période de décembre 2025 à février 2026 sur investigation.io/dprk-itw-breach, accessible avec le mot de passe « 123456 ».

L'appareil compromis et les journaux de discussion ont fourni des détails supplémentaires. Les employés utilisaient Astrill VPN et de fausses identités pour postuler à des emplois. Les discussions internes sur Slack comprenaient un message d'un utilisateur nommé « Nami » partageant un blog sur un candidat nord-coréen utilisant un deepfake. L'administrateur a également envoyé 43 modules de formation Hex-Rays et IDA Pro aux employés entre novembre 2025 et février 2026, couvrant le désassemblage, la décompilation et le débogage. Un lien partagé traitait spécifiquement du décompressage d’exécutables PE malveillants. Trente-trois informaticiens nord-coréens ont été identifiés comme communiquant via le même réseau IPMsg. D’autres entrées de journal faisaient référence à des plans visant à voler Arcano, un jeu GalaChain, à l’aide d’un proxy nigérian, bien que le résultat de cette tentative ne soit pas clair d’après les données.

ZachXBT a qualifié ce groupe de moins sophistiqué sur le plan opérationnel que les groupes nord-coréens de plus haut niveau tels qu’Applejeus ou Tradertraitor. Il avait précédemment estimé que les informaticiens nord-coréens généraient collectivement plusieurs millions de dollars par mois. Il a noté que les groupes de bas niveau comme celui-ci attirent les acteurs malveillants car le risque est faible et la concurrence minime.

Le domaine luckyguys.site a été mis hors ligne jeudi, le lendemain de la publication des conclusions de ZachXBT. Il a confirmé que l'ensemble des données avait été archivé avant la fermeture du site. Cette enquête offre un aperçu direct de la manière dont les cellules de cybercriminels nord-coréens perçoivent des paiements, entretiennent de fausses identités et transfèrent des fonds via des systèmes cryptographiques et fiduciaires, avec des documents qui montrent à la fois l'ampleur de leurs activités et les failles opérationnelles sur lesquelles ces groupes s'appuient pour rester actifs.