A ZachXBT közzétette az Észak-Koreáról kiszivárgott fizetési adatokat, amelyek havi 1 millió dolláros kriptovaluta-fiat átutalási csatornát mutatnak

Főbb megállapítások:

• ZachXBT április 8-i vizsgálata feltárta egy észak-koreai IT-munkások által használt fizetési szervert, amely 2025. november vége óta több mint 3,5 millió dollár értékű tranzakciót dolgozott fel.
• Három, az OFAC által szankcionált szervezet, a Sobaeksu, a Saenal és a Songkwang szerepelt a luckyguys.site által közzétett, feltört felhasználói listán.
• Az észak-koreai belső webhely 2026. április 9-én leállt, de ZachXBT az 11 részes szál közzététele előtt archiválta az összes adatot.

Észak-koreai hackerek az „123456” alapértelmezett jelszót használták egy belső kriptovaluta-fizetési szerveren

A kiszivárgott adatok egy észak-koreai IT-munkatárs eszközéről származnak, amelyet infostealer kártevőfertőzés támadott meg. Egy névtelen forrás megosztotta a fájlokat ZachXBT-vel, aki megerősítette, hogy az anyagot soha nem tették közzé. A kinyert adatok között körülbelül 390 fiók, IPMsg csevegési naplófájlok, hamis személyazonosságok, böngészőelőzmények és kriptovaluta-tranzakciós adatok szerepeltek.

A nyomozás középpontjában álló belső platform a luckyguys.site volt, amelyet belsőleg WebMsg néven is emlegettek. Ez egy Discord-szerű üzenetküldőként működött, lehetővé téve az észak-koreai IT-munkások számára, hogy jelentést tegyenek a kifizetésekről a feletteseiknek. Legalább tíz felhasználó soha nem változtatta meg az alapértelmezett jelszót, amely „123456”-ra volt beállítva.

A felhasználói lista szerepköröket, koreai neveket, városokat és kódolt csoportneveket tartalmazott, amelyek összhangban állnak az észak-koreai IT-munkások ismert működési módszereivel. A listán szereplő három vállalat, a Sobaeksu, a Saenal és a Songkwang jelenleg az Egyesült Államok Pénzügyminisztériumának Külföldi Vagyonkezelő Hivatala által szankcionált.

A kifizetéseket egy PC-1234 azonosítóval rendelkező központi adminisztrátori fiók segítségével erősítették meg. ZachXBT megosztott néhány közvetlen üzenetet egy „Rascal” becenevű felhasználótól, amelyek részletesen leírták a 2025. decembertől 2026. áprilisig tartó időszakban csaló identitásokhoz kapcsolódó átutalásokat. Néhány üzenet hongkongi címeket említett számlák és áruk kapcsán, bár ezek hitelességét nem ellenőrizték.

A kapcsolódó fizetési pénztárca-címek több mint 3,5 millió dollárt kaptak ebben az időszakban, ami havonta körülbelül 1 millió dollárnak felel meg. A munkavállalók hamis jogi dokumentumokat és hamis személyazonosságokat használtak a munkavállaláshoz. A kriptovalutát vagy közvetlenül a tőzsdékről utalták át, vagy olyan platformok segítségével, mint a Payoneer, kínai bankszámlákon keresztül konvertálták fiat pénznemre. A PC-1234 adminisztrátori fiók ezután megerősítette a beérkezést, és kiosztotta a különböző kriptovaluta- és fintech-platformokhoz tartozó hitelesítő adatokat.

Az on-chain elemzés összekapcsolta a belső fizetési címeket az észak-koreai IT-munkások ismert csoportjaival. Két konkrét címet azonosítottak: egy Ethereum-címet és egy Tron-címet, amelyet a Tether 2025 decemberében befagyasztott.

ZachXBT a teljes adatkészletet felhasználva feltérképezte a hálózat teljes szervezeti felépítését, beleértve a felhasználónkénti és csoportonkénti fizetési összegeket is. Közzétett egy interaktív szervezeti ábrát, amely a 2025. decembertől 2026. februárig tartó időszakot fedi le az investigation.io/dprk-itw-breach oldalon, amely a „123456” jelszóval érhető el.

A feltört eszköz és a csevegési naplófájlok további részleteket tártak fel. A munkavállalók az Astrill VPN-t és hamis személyazonosságokat használtak az álláspályázatokhoz. A belső Slack-beszélgetések között szerepelt egy „Nami” nevű felhasználó bejegyzése, amelyben megosztott egy blogbejegyzést egy észak-koreai munkavállaló deepfake-pályázójáról. Az adminisztrátor 2025 novemberétől 2026 februárjáig 43 Hex-Rays és IDA Pro képzési modult is elküldött a munkavállalóknak, amelyek a disassembly, a dekompiláció és a hibakeresés témáit fedték le. Az egyik megosztott link kifejezetten a rosszindulatú PE-végrehajtható fájlok kicsomagolásával foglalkozott.
Harminchárom észak-koreai IT-munkavállalót találtak, akik ugyanazon az IPMsg-hálózaton keresztül kommunikáltak. Külön naplóbejegyzések utaltak arra a tervre, hogy nigériai proxyt használva lopjanak az Arcano nevű GalaChain-játékból, bár az adatokból nem derült ki egyértelműen, hogy ez a kísérlet milyen eredménnyel járt.

ZachXBT ezt a klasztert operatív szempontból kevésbé kifinomultnak minősítette, mint az Applejeus vagy a Tradertraitorhoz hasonló magasabb szintű észak-koreai csoportokat. Korábban úgy becsülte, hogy az észak-koreai IT-munkások együttesen havonta több millió dollárt keresnek. Megjegyezte, hogy az ilyen alacsony szintű csoportok vonzzák a fenyegető szereplőket, mert a kockázat alacsony és a verseny minimális.

A luckyguys.site domain csütörtökön, ZachXBT eredményeinek közzétételét követő napon lekerült a netről. Megerősítette, hogy a teljes adatkészletet archiválták, mielőtt a webhelyet leállították.

A vizsgálat közvetlen betekintést nyújt abba, hogy az észak-koreai IT-szakemberekből álló sejtek hogyan gyűjtik be a kifizetéseket, hogyan tartják fenn hamis identitásaikat, és hogyan mozgatják a pénzt kriptovaluta- és fiat-rendszereken keresztül, olyan dokumentációval, amely bemutatja mind a méretet, mind az operatív hiányosságokat, amelyekre ezek a csoportok támaszkodnak, hogy aktívak maradjanak.