Foilsíonn ZachXBT Sonraí Íocaíochta Sceite ón DPRK a Thaispeánann Píblíne Crypto-go-Fiat $1M in aghaidh na Míosa

Príomhbhearta le tabhairt leat:

• Nocht imscrúdú ZachXBT ar an 8 Aibreán freastalaí íocaíochtaí d’oibrithe TF an DPRK a phróiseáil breis agus $3.5 milliún ó dheireadh mhí na Samhna 2025.
• Bhí trí eintiteas faoi smachtbhannaí OFAC — Sobaeksu, Saenal, agus Songkwang — le feiceáil ar an liosta úsáideoirí a sáraíodh ó luckyguys.site.
• Chuaigh an suíomh inmheánach DPRK as líne ar an 9 Aibreán, 2026, ach chuir ZachXBT na sonraí ar fad i gcartlann sular fhoilsigh sé an snáithe 11 gcuid.

D’úsáid Haiceálaithe na Cóiré Thuaidh an Focal Faire Réamhshocraithe ‘123456’ ar Fhreastalaí Inmheánach Íocaíochta Cripto

Tháinig na sonraí sceite ó ghléas oibrí TF DPRK a cuireadh i gcontúirt ag malware infostealer. Roinn foinse gan ainm na comhaid le ZachXBT, a dheimhnigh nár scaoileadh an t-ábhar riamh go poiblí. Áiríodh sna taifid a baineadh amach thart ar 390 cuntas, logaí comhrá IPMsg, aitheantais bhréige, stair bhrabhsála, agus taifid idirbheart criptea-airgeadra.

Ba é luckyguys.site, ar tugadh WebMsg air go hinmheánach freisin, an t-ardán inmheánach a bhí i gcroílár an imscrúdaithe. D’oibrigh sé mar theachtaire i stíl Discord, ag cur ar chumas oibrithe TF an DPRK íocaíochtaí a thuairisciú dá láimhseálaithe. Níor athraigh ar a laghad deichniúr úsáideoirí an focal faire réamhshocraithe riamh, a bhí socraithe mar “123456.”

Bhí róil, ainmneacha Cóiréise, cathracha, agus ainmneacha grúpa códaithe ar an liosta úsáideoirí a bhí comhsheasmhach le hoibríochtaí aitheanta oibrithe TF DPRK. Tá trí chuideachta a bhí ar an liosta — Sobaeksu, Saenal, agus Songkwang — faoi smachtbhannaí faoi láthair ag Oifig Rialaithe Sócmhainní Eachtracha Chisteáin na Stát Aontaithe.

Deimhníodh íocaíochtaí trí chuntas lárnach riaracháin a aithníodh mar PC-1234. Roinn ZachXBT samplaí teachtaireachtaí díreacha ó úsáideoir ar leasainm “Rascal,” a mhínigh aistrithe a bhain le haitheantais chalaoiseacha ó Nollaig 2025 go hAibreán 2026. Rinne roinnt teachtaireachtaí tagairt do sheoltaí i Hong Cong le haghaidh billí agus earraí, cé nár fíoraíodh a bhfírinne.

Fuair na seoltaí sparán íocaíochta gaolmhara breis agus $3.5 milliún le linn na tréimhse sin, rud a bhí cothrom le thart ar $1 mhilliún in aghaidh na míosa. D’úsáid oibrithe doiciméid dhlíthiúla bhrionnaithe agus aitheantais bhréige chun fostaíocht a fháil. Aistríodh Cripto go díreach ó mhalartáin nó tiontaíodh é go fiat trí chuntais bhainc Síneacha ag úsáid ardáin cosúil le Payoneer. Ansin dhearbhaigh an cuntas riaracháin PC-1234 go bhfuarthas é agus dháil sé dintiúir do ardáin éagsúla cripto agus fintech.

Cheangail anailís onchain na seoltaí íocaíochta inmheánacha le braislí aitheanta d’oibrithe TF DPRK. Aithníodh dhá sheoladh ar leith: seoladh Ethereum agus seoladh Tron a reoigh Tether i Nollaig 2025.

D’úsáid ZachXBT an tacar sonraí iomlán chun struchtúr eagraíochtúil iomlán an líonra a mhapáil, lena n-áirítear iomláin íocaíochta in aghaidh an úsáideora agus in aghaidh an ghrúpa. D’fhoilsigh sé cairt eagraíochta idirghníomhach a chlúdaigh Nollaig 2025 go Feabhra 2026 ag investigation.io/dprk-itw-breach, inrochtana leis an bhfocal faire “123456.”

Chuir an gléas a cuireadh i gcontúirt agus na logaí comhrá sonraí breise ar fáil. D’úsáid oibrithe Astrill VPN agus pearsanraí bréige chun iarratais ar phoist a dhéanamh. Áiríodh i bplé inmheánach Slack post ó úsáideoir darbh ainm “Nami” a roinn blag faoi iarrthóir deepfake oibrí DPRK. Sheol an riarthóir 43 modúl oiliúna Hex-Rays agus IDA Pro chuig oibrithe idir Samhain 2025 agus Feabhra 2026 freisin, ag clúdach díshuíomh, díchóimeáil, agus dífhabhtú. Dhírigh nasc amháin a roinneadh go sonrach ar PE executables naimhdeacha a dhíphacáil.

Fuarthas amach go raibh 33 oibrí TF DPRK ag cumarsáid tríd an líonra IPMsg céanna. Rinne iontrálacha loga ar leith tagairt do phleananna chun goid ó Arcano, cluiche GalaChain, ag úsáid seachfhreastalaí ón Nigéir, cé nach raibh toradh na hiarrachta sin soiléir ó na sonraí.

Rinne ZachXBT cur síos ar an mbraisle seo mar cheann nach raibh chomh sofaisticiúil ó thaobh oibríochtaí de i gcomparáid le grúpaí DPRK ar leibhéal níos airde amhail Applejeus nó Tradertraitor. Mheas sé roimhe seo go ngineann oibrithe TF DPRK, le chéile, il-sheacht bhfigiúirí in aghaidh na míosa. Thug sé faoi deara go meallann grúpaí íseal-leibhéil mar an ceann seo gníomhaithe bagartha toisc go bhfuil an riosca íseal agus go bhfuil an iomaíocht íosta.

Chuaigh fearann luckyguys.site as líne ar an Déardaoin, an lá i ndiaidh do ZachXBT a thorthaí a fhoilsiú. Dhearbhaigh sé go raibh an tacar sonraí iomlán i gcartlann sular baineadh an suíomh anuas.

Cuireann an t-imscrúdú léargas díreach ar fáil ar an gcaoi a mbailíonn cealla oibrithe TF DPRK íocaíochtaí, a choinníonn siad aitheantais bhréige, agus a aistríonn siad airgead trí chórais cripto agus fiat, le doiciméadú a léiríonn an scála agus na bearnaí oibríochtúla araon a mbraitheann na grúpaí seo orthu chun fanacht gníomhach.