Blockchain istražitelj ZachXBT objavio je 11-dijelnu nit 8. travnja 2026., razotkrivši podatke eksfiltrirane s internog sjevernokorejskog platnog poslužitelja koji su koristili IT radnici DPRK-a, otkrivajući više od 3,5 milijuna dolara obrađenih uplata od kraja studenoga 2025.
ZachXBT objavljuje procurile podatke o plaćanjima DPRK-a koji pokazuju mjesečni kripto-u-fijat kanal od 1 milijun dolara
NAPISAO
PODIJELI
Ključni zaključci:
- ZachXBT-ova istraga od 8. travnja razotkrila je platni poslužitelj DPRK IT radnika koji je obradio više od 3,5 milijuna dolara od kraja studenoga 2025.
- Tri subjekta pod sankcijama OFAC-a, Sobaeksu, Saenal i Songkwang, pojavila su se na popisu kompromitiranih korisnika s luckyguys.site.
- Interna DPRK stranica ugašena je 9. travnja 2026., no ZachXBT je arhivirao sve podatke prije objave 11-dijelne niti.
Sjevernokorejski hakeri koristili su zadanu lozinku ‘123456’ na internom kripto platnom poslužitelju
Procurjeli podaci potječu s uređaja DPRK IT radnika kompromitiranog infostealer zlonamjernim softverom. Neimenovani izvor podijelio je datoteke sa ZachXBT, koji je potvrdio da materijal nikada prije nije bio javno objavljen. Ekstrahirani zapisi uključivali su približno 390 računa, IPMsg dnevnike razgovora, lažne identitete, povijest pregledavanja i zapise o transakcijama u kriptovalutama.
Interna platforma u središtu istrage bila je luckyguys.site, interno također nazivana WebMsg. Funkcionirala je kao messenger nalik Discordu, omogućujući DPRK IT radnicima da svojim nadređenima prijavljuju uplate. Najmanje deset korisnika nikada nije promijenilo zadanu lozinku, koja je bila postavljena na “123456”.
Popis korisnika sadržavao je uloge, korejska imena, gradove i kodirana nazive grupa usklađene s poznatim operacijama DPRK IT radnika. Tri tvrtke koje su se pojavile na popisu, Sobaeksu, Saenal i Songkwang, trenutačno su pod sankcijama Ureda za kontrolu strane imovine Ministarstva financija SAD-a.
Uplate su potvrđivane putem središnjeg administratorskog računa identificiranog kao PC-1234. ZachXBT je podijelio primjere izravnih poruka korisnika s nadimkom “Rascal”, koji su detaljno opisivali transfere povezane s lažnim identitetima u razdoblju od prosinca 2025. do travnja 2026. Neke poruke spominjale su Hong Kong adrese za račune i robu, iako njihova autentičnost nije bila provjerena.
Povezane adrese platnih novčanika primile su više od 3,5 milijuna dolara tijekom tog razdoblja, što je ekvivalentno otprilike 1 milijun dolara mjesečno. Radnici su koristili krivotvorene pravne dokumente i lažne identitete kako bi dobili zaposlenje. Kripto je ili prebacivan izravno s burzi ili pretvaran u fiat putem kineskih bankovnih računa koristeći platforme poput Payoneera. Administratorski račun PC-1234 potom je potvrđivao primitak i dijelio vjerodajnice za različite kripto i fintech platforme.
Onchain analiza povezala je interne platne adrese s poznatim klasterima DPRK IT radnika. Identificirane su dvije specifične adrese: Ethereum adresa i Tron adresa koju je Tether zamrznuo u prosincu 2025.
ZachXBT je iskoristio cjelokupni skup podataka kako bi mapirao potpunu organizacijsku strukturu mreže, uključujući ukupne iznose uplata po korisniku i po grupi. Objavio je interaktivni organizacijski dijagram koji pokriva razdoblje od prosinca 2025. do veljače 2026. na investigation.io/dprk-itw-breach, dostupan uz lozinku “123456”.
Kompromitirani uređaj i dnevnici razgovora donijeli su dodatne pojedinosti. Radnici su koristili Astrill VPN i lažne persone kako bi se prijavljivali za poslove. Interne Slack rasprave uključivale su objavu korisnika imenom “Nami” koja je dijelila blog o deepfake kandidatu DPRK radnika. Administrator je također poslao 43 modula za obuku za Hex-Rays i IDA Pro radnicima između studenoga 2025. i veljače 2026., pokrivajući disasembliranje, dekompilaciju i debugiranje. Jedna podijeljena poveznica posebno se bavila raspakiravanjem neprijateljskih PE izvršnih datoteka.
Utvrđeno je da 33 DPRK IT radnika komunicira putem iste IPMsg mreže. Odvojeni zapisi iz dnevnika spominjali su planove za krađu od Arcano, GalaChain igre, koristeći nigerijski proxy, iako ishod tog pokušaja iz podataka nije bio jasan.
ZachXBT je ovaj klaster okarakterizirao kao operativno manje sofisticiran od višerazinskih DPRK skupina poput Applejeus ili Tradertraitor. Prethodno je procijenio da DPRK IT radnici zajednički generiraju višestruke sedmeroznamenkaste iznose mjesečno. Napomenuo je da niskorangirane skupine poput ove privlače aktere prijetnji jer je rizik nizak, a konkurencija minimalna.
Div kripto bankomata otkriva krađu Bitcoina vrijednu 3,7 milijuna dolara nakon kibernetičkog napada
Bitcoin Depot pogođen kibernetičkim napadom vrijednim 3,665 milijuna dolara. Tvrtka navodi da povreda nije ugrozila informacije o korisnicima ni rad bankomata. read more.
Pročitaj
Div kripto bankomata otkriva krađu Bitcoina vrijednu 3,7 milijuna dolara nakon kibernetičkog napada
Bitcoin Depot pogođen kibernetičkim napadom vrijednim 3,665 milijuna dolara. Tvrtka navodi da povreda nije ugrozila informacije o korisnicima ni rad bankomata. read more.
PročitajDiv kripto bankomata otkriva krađu Bitcoina vrijednu 3,7 milijuna dolara nakon kibernetičkog napada
PročitajBitcoin Depot pogođen kibernetičkim napadom vrijednim 3,665 milijuna dolara. Tvrtka navodi da povreda nije ugrozila informacije o korisnicima ni rad bankomata. read more.
Domena luckyguys.site ugašena je u četvrtak, dan nakon što je ZachXBT objavio svoja saznanja. Potvrdio je da je cjelokupni skup podataka bio arhiviran prije nego što je stranica uklonjena.
Istraga pruža izravan uvid u to kako stanice DPRK IT radnika prikupljaju uplate, održavaju lažne identitete te premještaju novac kroz kripto i fiat sustave, uz dokumentaciju koja pokazuje i razmjere i operativne propuste na koje se ove skupine oslanjaju kako bi ostale aktivne.
