ZachXBT ने लीक हुए डीपीआरके भुगतान डेटा प्रकाशित किया, जिसमें $1M मासिक क्रिप्टो-से-फिएट पाइपलाइन दिखाई गई है।

मुख्य निष्कर्ष:

• ZachXBT की 8 अप्रैल की जांच ने एक DPRK आईटी कर्मचारी भुगतान सर्वर का खुलासा किया जिसने नवंबर 2025 के अंत से 3.5 मिलियन डॉलर से अधिक का लेन-देन संसाधित किया।
• OFAC-प्रतिबंधित तीन संस्थाएँ, सोबेक्सु, सैनल, और सोंगक्वांग, luckyguys.site से लीक हुई उपयोगकर्ता सूची में दिखाई दीं।
• आंतरिक डीपीआरके साइट 9 अप्रैल, 2026 को ऑफ़लाइन हो गई, लेकिन ZachXBT ने 11-भागों वाले थ्रेड को प्रकाशित करने से पहले सभी डेटा को संग्रहीत कर लिया।

उत्तर कोरियाई हैकर्स ने आंतरिक क्रिप्टो भुगतान सर्वर पर डिफ़ॉल्ट पासवर्ड '123456' का इस्तेमाल किया

लीक हुए डेटा का स्रोत infostealer मैलवेयर से संक्रमित एक डीपीआरके आईटी कर्मचारी के डिवाइस से आया था। एक अनाम स्रोत ने ज़ैकएक्सबीटी (ZachXBT) के साथ फ़ाइलें साझा कीं, जिन्होंने पुष्टि की कि यह सामग्री कभी भी सार्वजनिक रूप से जारी नहीं की गई थी। निकाले गए रिकॉर्ड में लगभग 390 खाते, आईपीएमएसजी (IPMg) चैट लॉग, बनावटी पहचान, ब्राउज़र इतिहास और क्रिप्टोकरेंसी लेनदेन के रिकॉर्ड शामिल थे।

जांच के केंद्र में आंतरिक प्लेटफॉर्म luckyguys.site था, जिसे आंतरिक रूप से WebMsg भी कहा जाता था। यह डिस्कॉर्ड-शैली के मैसेंजर के रूप में काम करता था, जो डीपीआरके आईटी कर्मचारियों को अपने हैंडलर्स को भुगतान की सूचना देने की अनुमति देता था। कम से कम दस उपयोगकर्ताओं ने डिफ़ॉल्ट पासवर्ड कभी नहीं बदला था, जो "123456" पर सेट था।

उपयोगकर्ता सूची में भूमिकाएँ, कोरियाई नाम, शहर और कोडित समूह नाम शामिल थे जो ज्ञात डीपीआरके आईटी कर्मचारी अभियानों के अनुरूप थे। सूची में दिखाई देने वाली तीन कंपनियाँ, सोबेक्सु, सैनल और सोंगक्वांग, वर्तमान में अमेरिकी ट्रेजरी के विदेशी संपत्ति नियंत्रण कार्यालय द्वारा प्रतिबंधित हैं।

भुगतान की पुष्टि पीसी-1234 के रूप में पहचाने गए एक केंद्रीय एडमिन खाते के माध्यम से की गई थी। ZachXBT ने "रैस्कल" उपनाम वाले एक उपयोगकर्ता के प्रत्यक्ष संदेशों के उदाहरण साझा किए, जिनमें दिसंबर 2025 से अप्रैल 2026 तक की धोखाधड़ी वाली पहचानों से जुड़े ट्रांसफर का विवरण था। कुछ संदेशों में बिलों और सामानों के लिए हांगकांग के पतों का उल्लेख था, हालांकि उनकी प्रामाणिकता सत्यापित नहीं की गई थी।

उस अवधि के दौरान संबंधित भुगतान वॉलेट पतों को 3.5 मिलियन डॉलर से अधिक प्राप्त हुए, जो लगभग 1 मिलियन डॉलर प्रति माह के बराबर है। श्रमिकों ने रोजगार प्राप्त करने के लिए जाली कानूनी दस्तावेज़ों और नकली पहचानों का इस्तेमाल किया। क्रिप्टो या तो सीधे एक्सचेंजों से स्थानांतरित किया गया या Payoneer जैसे प्लेटफॉर्म का उपयोग करके चीनी बैंक खातों के माध्यम से इसे फिएट में परिवर्तित किया गया। इसके बाद एडमिन खाते PC-1234 ने प्राप्ति की पुष्टि की और विभिन्न क्रिप्टो और फिनटेक प्लेटफॉर्म के लिए क्रेडेंशियल वितरित किए।

ऑनचेन विश्लेषण ने आंतरिक भुगतान पतों को डीपीआरके आईटी कर्मचारियों के ज्ञात समूहों से जोड़ा। दो विशिष्ट पते पहचाने गए: एक एथेरियम पता और एक ट्रॉन पता जिसे टेदर ने दिसंबर 2025 में फ्रीज कर दिया था।

ZachXBT ने पूरे नेटवर्क की संपूर्ण संगठनात्मक संरचना का नक्शा बनाने के लिए पूरे डेटासेट का उपयोग किया, जिसमें प्रति उपयोगकर्ता और प्रति समूह भुगतान का कुल योग शामिल है। उन्होंने investigation.io/dprk-itw-breach पर दिसंबर 2025 से फरवरी 2026 तक का एक इंटरैक्टिव ऑर्ग चार्ट प्रकाशित किया, जो "123456" पासवर्ड से सुलभ है।

कंप्रोमाइज़्ड डिवाइस और चैट लॉग से अतिरिक्त विवरण सामने आए। कर्मचारियों ने नौकरियों के लिए आवेदन करने हेतु एस्ट्रिल वीपीएन और फर्जी पहचानों का इस्तेमाल किया। आंतरिक स्लैक चर्चाओं में "नामी" नामक एक उपयोगकर्ता की एक पोस्ट शामिल थी, जिसमें डीपीआरके के एक कर्मचारी डीपफेक आवेदक के बारे में एक ब्लॉग साझा किया गया था। एडमिन ने नवंबर 2025 और फरवरी 2026 के बीच कर्मचारियों को 43 हेक्स-रेज़ और आईडीए प्रो प्रशिक्षण मॉड्यूल भी भेजे, जिनमें डिसअसेंबली, डीकंपाइलेशन और डिबगिंग शामिल थे। एक साझा लिंक विशेष रूप से शत्रुतापूर्ण PE एक्ज़ीक्यूटेबल्स को अनपैक करने से संबंधित था।

तेईस डीपीआरके आईटी कर्मचारी एक ही IPMg नेटवर्क के माध्यम से संवाद करते हुए पाए गए। अलग-अलग लॉग प्रविष्टियों में एक नाइजीरियाई प्रॉक्सी का उपयोग करके, गलाचेन गेम, आर्कानो से चोरी करने की योजनाओं का उल्लेख था, हालांकि उस प्रयास के परिणाम के बारे में डेटा से स्पष्ट नहीं था।

ZachXBT ने इस समूह को Applejeus या Tradertraitor जैसे उच्च-स्तरीय DPRK समूहों की तुलना में परिचालन के लिहाज़ से कम परिष्कृत बताया। उन्होंने पहले अनुमान लगाया था कि DPRK के आईटी कर्मचारी सामूहिक रूप से प्रति माह कई सात अंकों की कमाई करते हैं। उन्होंने कहा कि इस तरह के निम्न-स्तरीय समूह खतरनाक हमलावरों को आकर्षित करते हैं क्योंकि इसमें जोखिम कम होता है और प्रतिस्पर्धा न्यूनतम होती है।

ज़ैकएक्सबीटी द्वारा अपने निष्कर्ष प्रकाशित करने के अगले दिन, गुरुवार को luckyguys.site डोमेन ऑफ़लाइन हो गया। उन्होंने पुष्टि की कि साइट को बंद करने से पहले पूरे डेटासेट को संग्रहीत कर लिया गया था।

यह जांच इस बात का प्रत्यक्ष दृश्य प्रस्तुत करती है कि डीपीआरके आईटी कर्मचारी सेल कैसे भुगतान एकत्र करते हैं, नकली पहचान बनाए रखते हैं, और क्रिप्टो और फिएट सिस्टम के माध्यम से पैसा स्थानांतरित करते हैं, साथ ही यह दस्तावेज़ीकरण इस बात को भी दर्शाता है कि ये समूह सक्रिय रहने के लिए किस पैमाने और परिचालन कमियों पर निर्भर करते हैं।