ZachXBT מפרסם נתוני תשלום שהודלפו מצפון קוריאה (DPRK), המראים צינור המרה חודשי מקריפטו לפיאט בהיקף של מיליון דולר

תובנות מרכזיות:

• החקירה של ZachXBT מ-8 באפריל חשפה שרת תשלומים של עובדי IT של DPRK שעיבד מעל 3.5 מיליון דולר מאז סוף נובמבר 2025.
• שלושה גופים תחת סנקציות OFAC — Sobaeksu, Saenal ו-Songkwang — הופיעו ברשימת המשתמשים שנפרצה מ-luckyguys.site.
• האתר הפנימי של DPRK ירד מהאוויר ב-9 באפריל 2026, אך ZachXBT גיבה את כל הנתונים לפני פרסום השרשור בן 11 החלקים.

האקרים צפון-קוריאנים השתמשו בסיסמת ברירת מחדל ‘123456’ בשרת תשלומי קריפטו פנימי

הנתונים שהודלפו הגיעו ממכשיר של עובד IT של DPRK שנפרץ באמצעות נוזקת infostealer. מקור לא מזוהה שיתף את הקבצים עם ZachXBT, אשר אישר שהחומר מעולם לא פורסם לציבור. הרשומות שחולצו כללו כ-390 חשבונות, יומני צ’אט של IPMsg, זהויות מפוברקות, היסטוריית דפדפן ורשומות של עסקאות מטבעות קריפטוגרפיים.

הפלטפורמה הפנימית שבמרכז החקירה הייתה luckyguys.site, שכונתה גם פנימית WebMsg. היא תפקדה כיישומון מסרים בסגנון Discord, ואפשרה לעובדי IT של DPRK לדווח על תשלומים למפעילים שלהם. לפחות עשרה משתמשים מעולם לא שינו את סיסמת ברירת המחדל, שנקבעה ל-“123456”.

רשימת המשתמשים כללה תפקידים, שמות קוריאניים, ערים ושמות קבוצות מקודדים התואמים לפעילות מוכרת של עובדי IT של DPRK. שלוש חברות שהופיעו ברשימה — Sobaeksu, Saenal ו-Songkwang — נמצאות כיום תחת סנקציות של משרד האוצר האמריקאי, באמצעות Office of Foreign Assets Control.

התשלומים אומתו דרך חשבון מנהל מרכזי שזוהה כ-PC-1234. ZachXBT שיתף דוגמאות להודעות ישירות ממשתמש בכינוי “Rascal”, שפירטו העברות הקשורות לזהויות הונאה לאורך התקופה מדצמבר 2025 ועד אפריל 2026. חלק מההודעות התייחסו לכתובות ב-הונג קונג עבור חשבונות וסחורות, אם כי האותנטיות שלהן לא אומתה.

כתובות ארנק התשלום המשויכות קיבלו יותר מ-3.5 מיליון דולר באותה תקופה, שהם שווי ערך לכמיליון דולר בחודש. העובדים השתמשו במסמכים משפטיים מזויפים ובזהויות בדויות כדי להשיג תעסוקה. קריפטו הועבר או ישירות מבורסות או הומר לפיאט דרך חשבונות בנק סיניים באמצעות פלטפורמות כמו Payoneer. לאחר מכן חשבון המנהל PC-1234 אישר את הקבלה וחילק פרטי גישה לפלטפורמות קריפטו ופינטק שונות.

ניתוח onchain קישר את כתובות התשלום הפנימיות לאשכולות מוכרים של עובדי IT של DPRK. זוהו שתי כתובות ספציפיות: כתובת Ethereum וכתובת Tron ש-Tether הקפיאה בדצמבר 2025.

ZachXBT השתמש במאגר הנתונים המלא כדי למפות את המבנה הארגוני המלא של הרשת, כולל סך התשלומים לכל משתמש ולכל קבוצה. הוא פרסם תרשים ארגוני אינטראקטיבי המכסה את דצמבר 2025 עד פברואר 2026 ב-investigation.io/dprk-itw-breach, ונגיש באמצעות הסיסמה “123456”.

המכשיר שנפרץ ויומני הצ’אט סיפקו פרטים נוספים. העובדים השתמשו ב-Astrill VPN ובדמויות בדויות כדי להגיש מועמדות למשרות. דיונים פנימיים ב-Slack כללו פוסט ממשתמש בשם “Nami” ששיתף בלוג על מועמד דיפפייק של עובד DPRK. המנהל גם שלח לעובדים 43 מודולי הכשרה של Hex-Rays ו-IDA Pro בין נובמבר 2025 לפברואר 2026, בנושאים פירוק לאסמבלי, דה-קומפילציה וניפוי שגיאות. קישור משותף אחד התייחס ספציפית לפריקת (unpacking) קבצי PE עוינים.

נמצא כי 33 עובדי IT של DPRK מתקשרים דרך אותה רשת IPMsg. רשומות לוג נפרדות התייחסו לתוכניות לגנוב מ-Arcano, משחק ב-GalaChain, באמצעות פרוקסי ניגרי, אם כי תוצאת המאמץ לא הייתה ברורה מהנתונים.

ZachXBT תיאר את האשכול הזה כפחות מתוחכם מבחינה תפעולית לעומת קבוצות DPRK ברמה גבוהה יותר כגון Applejeus או Tradertraitor. הוא העריך בעבר שעובדי IT של DPRK מייצרים יחד כמה סכומים בני שבע ספרות בחודש. הוא ציין שקבוצות בדרג נמוך כמו זו מושכות שחקני איום משום שהסיכון נמוך והתחרות מינימלית.

הדומיין luckyguys.site ירד מהאוויר ביום חמישי, יום לאחר ש-ZachXBT פרסם את ממצאיו. הוא אישר כי מאגר הנתונים המלא גובה לפני שהאתר הוסר.

החקירה מספקת מבט ישיר על האופן שבו תאי עובדי IT של DPRK אוספים תשלומים, מתחזקים זהויות בדויות ומעבירים כסף דרך מערכות קריפטו ופיאט, עם תיעוד שמציג הן את היקף הפעילות והן את הפערים התפעוליים שעליהם הקבוצות הללו נשענות כדי להמשיך לפעול.