ब्लॉकचेन अन्वेषक ZachXBT ने 8 अप्रैल, 2026 को 11-भागों की एक थ्रेड प्रकाशित की, जिसमें DPRK आईटी कर्मचारियों द्वारा उपयोग किए जाने वाले एक आंतरिक उत्तर कोरियाई भुगतान सर्वर से निकाले गए डेटा का खुलासा किया गया, जिससे नवंबर 2025 के अंत से अब तक 3.5 मिलियन डॉलर से अधिक के संसाधित भुगतानों का पता चला।
ZachXBT ने लीक हुए डीपीआरके भुगतान डेटा प्रकाशित किया, जिसमें $1M मासिक क्रिप्टो-से-फिएट पाइपलाइन दिखाई गई है।
लेखक
शेयर
मुख्य निष्कर्ष:
- ZachXBT की 8 अप्रैल की जांच ने एक DPRK आईटी कर्मचारी भुगतान सर्वर का खुलासा किया जिसने नवंबर 2025 के अंत से 3.5 मिलियन डॉलर से अधिक का लेन-देन संसाधित किया।
- OFAC-प्रतिबंधित तीन संस्थाएँ, सोबेक्सु, सैनल, और सोंगक्वांग, luckyguys.site से लीक हुई उपयोगकर्ता सूची में दिखाई दीं।
- आंतरिक डीपीआरके साइट 9 अप्रैल, 2026 को ऑफ़लाइन हो गई, लेकिन ZachXBT ने 11-भागों वाले थ्रेड को प्रकाशित करने से पहले सभी डेटा को संग्रहीत कर लिया।
उत्तर कोरियाई हैकर्स ने आंतरिक क्रिप्टो भुगतान सर्वर पर डिफ़ॉल्ट पासवर्ड '123456' का इस्तेमाल किया
लीक हुए डेटा का स्रोत infostealer मैलवेयर से संक्रमित एक डीपीआरके आईटी कर्मचारी के डिवाइस से आया था। एक अनाम स्रोत ने ज़ैकएक्सबीटी (ZachXBT) के साथ फ़ाइलें साझा कीं, जिन्होंने पुष्टि की कि यह सामग्री कभी भी सार्वजनिक रूप से जारी नहीं की गई थी। निकाले गए रिकॉर्ड में लगभग 390 खाते, आईपीएमएसजी (IPMg) चैट लॉग, बनावटी पहचान, ब्राउज़र इतिहास और क्रिप्टोकरेंसी लेनदेन के रिकॉर्ड शामिल थे।
जांच के केंद्र में आंतरिक प्लेटफॉर्म luckyguys.site था, जिसे आंतरिक रूप से WebMsg भी कहा जाता था। यह डिस्कॉर्ड-शैली के मैसेंजर के रूप में काम करता था, जो डीपीआरके आईटी कर्मचारियों को अपने हैंडलर्स को भुगतान की सूचना देने की अनुमति देता था। कम से कम दस उपयोगकर्ताओं ने डिफ़ॉल्ट पासवर्ड कभी नहीं बदला था, जो "123456" पर सेट था।
उपयोगकर्ता सूची में भूमिकाएँ, कोरियाई नाम, शहर और कोडित समूह नाम शामिल थे जो ज्ञात डीपीआरके आईटी कर्मचारी अभियानों के अनुरूप थे। सूची में दिखाई देने वाली तीन कंपनियाँ, सोबेक्सु, सैनल और सोंगक्वांग, वर्तमान में अमेरिकी ट्रेजरी के विदेशी संपत्ति नियंत्रण कार्यालय द्वारा प्रतिबंधित हैं।
भुगतान की पुष्टि पीसी-1234 के रूप में पहचाने गए एक केंद्रीय एडमिन खाते के माध्यम से की गई थी। ZachXBT ने "रैस्कल" उपनाम वाले एक उपयोगकर्ता के प्रत्यक्ष संदेशों के उदाहरण साझा किए, जिनमें दिसंबर 2025 से अप्रैल 2026 तक की धोखाधड़ी वाली पहचानों से जुड़े ट्रांसफर का विवरण था। कुछ संदेशों में बिलों और सामानों के लिए हांगकांग के पतों का उल्लेख था, हालांकि उनकी प्रामाणिकता सत्यापित नहीं की गई थी।
उस अवधि के दौरान संबंधित भुगतान वॉलेट पतों को 3.5 मिलियन डॉलर से अधिक प्राप्त हुए, जो लगभग 1 मिलियन डॉलर प्रति माह के बराबर है। श्रमिकों ने रोजगार प्राप्त करने के लिए जाली कानूनी दस्तावेज़ों और नकली पहचानों का इस्तेमाल किया। क्रिप्टो या तो सीधे एक्सचेंजों से स्थानांतरित किया गया या Payoneer जैसे प्लेटफॉर्म का उपयोग करके चीनी बैंक खातों के माध्यम से इसे फिएट में परिवर्तित किया गया। इसके बाद एडमिन खाते PC-1234 ने प्राप्ति की पुष्टि की और विभिन्न क्रिप्टो और फिनटेक प्लेटफॉर्म के लिए क्रेडेंशियल वितरित किए।
ऑनचेन विश्लेषण ने आंतरिक भुगतान पतों को डीपीआरके आईटी कर्मचारियों के ज्ञात समूहों से जोड़ा। दो विशिष्ट पते पहचाने गए: एक एथेरियम पता और एक ट्रॉन पता जिसे टेदर ने दिसंबर 2025 में फ्रीज कर दिया था।
ZachXBT ने पूरे नेटवर्क की संपूर्ण संगठनात्मक संरचना का नक्शा बनाने के लिए पूरे डेटासेट का उपयोग किया, जिसमें प्रति उपयोगकर्ता और प्रति समूह भुगतान का कुल योग शामिल है। उन्होंने investigation.io/dprk-itw-breach पर दिसंबर 2025 से फरवरी 2026 तक का एक इंटरैक्टिव ऑर्ग चार्ट प्रकाशित किया, जो "123456" पासवर्ड से सुलभ है।
कंप्रोमाइज़्ड डिवाइस और चैट लॉग से अतिरिक्त विवरण सामने आए। कर्मचारियों ने नौकरियों के लिए आवेदन करने हेतु एस्ट्रिल वीपीएन और फर्जी पहचानों का इस्तेमाल किया। आंतरिक स्लैक चर्चाओं में "नामी" नामक एक उपयोगकर्ता की एक पोस्ट शामिल थी, जिसमें डीपीआरके के एक कर्मचारी डीपफेक आवेदक के बारे में एक ब्लॉग साझा किया गया था। एडमिन ने नवंबर 2025 और फरवरी 2026 के बीच कर्मचारियों को 43 हेक्स-रेज़ और आईडीए प्रो प्रशिक्षण मॉड्यूल भी भेजे, जिनमें डिसअसेंबली, डीकंपाइलेशन और डिबगिंग शामिल थे। एक साझा लिंक विशेष रूप से शत्रुतापूर्ण PE एक्ज़ीक्यूटेबल्स को अनपैक करने से संबंधित था।
तेईस डीपीआरके आईटी कर्मचारी एक ही IPMg नेटवर्क के माध्यम से संवाद करते हुए पाए गए। अलग-अलग लॉग प्रविष्टियों में एक नाइजीरियाई प्रॉक्सी का उपयोग करके, गलाचेन गेम, आर्कानो से चोरी करने की योजनाओं का उल्लेख था, हालांकि उस प्रयास के परिणाम के बारे में डेटा से स्पष्ट नहीं था।
ZachXBT ने इस समूह को Applejeus या Tradertraitor जैसे उच्च-स्तरीय DPRK समूहों की तुलना में परिचालन के लिहाज़ से कम परिष्कृत बताया। उन्होंने पहले अनुमान लगाया था कि DPRK के आईटी कर्मचारी सामूहिक रूप से प्रति माह कई सात अंकों की कमाई करते हैं। उन्होंने कहा कि इस तरह के निम्न-स्तरीय समूह खतरनाक हमलावरों को आकर्षित करते हैं क्योंकि इसमें जोखिम कम होता है और प्रतिस्पर्धा न्यूनतम होती है।
ज़ैकएक्सबीटी द्वारा अपने निष्कर्ष प्रकाशित करने के अगले दिन, गुरुवार को luckyguys.site डोमेन ऑफ़लाइन हो गया। उन्होंने पुष्टि की कि साइट को बंद करने से पहले पूरे डेटासेट को संग्रहीत कर लिया गया था।
यह जांच इस बात का प्रत्यक्ष दृश्य प्रस्तुत करती है कि डीपीआरके आईटी कर्मचारी सेल कैसे भुगतान एकत्र करते हैं, नकली पहचान बनाए रखते हैं, और क्रिप्टो और फिएट सिस्टम के माध्यम से पैसा स्थानांतरित करते हैं, साथ ही यह दस्तावेज़ीकरण इस बात को भी दर्शाता है कि ये समूह सक्रिय रहने के लिए किस पैमाने और परिचालन कमियों पर निर्भर करते हैं।
