ZachXBT Memublikasikan Data Pembayaran Korea Utara yang Bocor yang Menunjukkan Aliran Dana Bulanan Senilai $1 Juta dari Kripto ke Mata Uang Konvensional

Poin-poin Utama:

• Penyelidikan ZachXBT pada 8 April mengungkap server pembayaran pekerja TI DPRK yang telah memproses lebih dari $3,5 juta sejak akhir November 2025.
• Tiga entitas yang dikenai sanksi OFAC, yaitu Sobaeksu, Saenal, dan Songkwang, muncul dalam daftar pengguna yang diretas dari luckyguys.site.
• Situs internal DPRK tersebut offline pada 9 April 2026, namun ZachXBT telah mengarsipkan semua data sebelum mempublikasikan utas berisikan 11 bagian tersebut.

Peretas Korea Utara Menggunakan Kata Sandi Default '123456' pada Server Pembayaran Kripto Internal

Data yang bocor berasal dari perangkat pekerja IT DPRK yang disusupi oleh malware pencuri data. Sumber yang tidak disebutkan namanya membagikan berkas-berkas tersebut kepada ZachXBT, yang mengonfirmasi bahwa materi tersebut belum pernah dirilis secara publik. Catatan yang diekstraksi mencakup sekitar 390 akun, log obrolan IPMsg, identitas palsu, riwayat penjelajahan browser, dan catatan transaksi kripto.

Platform internal yang menjadi fokus penyelidikan adalah luckyguys.site, yang juga disebut secara internal sebagai WebMsg. Platform ini berfungsi sebagai aplikasi pesan gaya Discord, memungkinkan pekerja IT DPRK melaporkan pembayaran kepada pengawas mereka. Setidaknya sepuluh pengguna belum pernah mengubah kata sandi default, yang ditetapkan sebagai "123456."

Daftar pengguna tersebut berisi peran, nama Korea, kota, dan nama grup yang dikodekan yang konsisten dengan operasi pekerja TI DPRK yang diketahui. Tiga perusahaan yang muncul dalam daftar, yaitu Sobaeksu, Saenal, dan Songkwang, saat ini sedang dikenai sanksi oleh Kantor Pengendalian Aset Asing Departemen Keuangan AS.

Pembayaran dikonfirmasi melalui akun admin pusat yang diidentifikasi sebagai PC-1234. ZachXBT membagikan contoh pesan langsung dari pengguna dengan nama panggilan "Rascal," yang merinci transfer terkait identitas palsu selama periode Desember 2025 hingga April 2026. Beberapa pesan merujuk pada alamat di Hong Kong untuk tagihan dan barang, meskipun keasliannya belum diverifikasi.

Alamat dompet pembayaran terkait menerima lebih dari $3,5 juta selama periode tersebut, setara dengan sekitar $1 juta per bulan. Para pekerja menggunakan dokumen hukum palsu dan identitas palsu untuk mendapatkan pekerjaan. Kripto ditransfer langsung dari bursa atau dikonversi ke mata uang fiat melalui rekening bank Tiongkok menggunakan platform seperti Payoneer. Akun admin PC-1234 kemudian mengonfirmasi penerimaan dan mendistribusikan kredensial untuk berbagai platform kripto dan fintech.

Analisis on-chain mengaitkan alamat pembayaran internal tersebut dengan kelompok pekerja IT DPRK yang sudah diketahui. Dua alamat spesifik teridentifikasi: alamat Ethereum dan alamat Tron yang dibekukan oleh Tether pada Desember 2025.

ZachXBT menggunakan dataset lengkap untuk memetakan struktur organisasi jaringan secara menyeluruh, termasuk total pembayaran per pengguna dan per kelompok. Ia mempublikasikan bagan organisasi interaktif yang mencakup periode Desember 2025 hingga Februari 2026 di investigation.io/dprk-itw-breach, yang dapat diakses dengan kata sandi "123456."

Perangkat yang diretas dan log obrolan menghasilkan detail tambahan. Para pekerja menggunakan Astrill VPN dan identitas palsu untuk melamar pekerjaan. Diskusi internal di Slack mencakup posting dari pengguna bernama "Nami" yang membagikan blog tentang pelamar deepfake pekerja DPRK. Admin juga mengirimkan 43 modul pelatihan Hex-Rays dan IDA Pro kepada para pekerja antara November 2025 dan Februari 2026, yang mencakup pembongkaran, dekompilasi, dan debugging. Satu tautan yang dibagikan secara khusus membahas cara mengekstrak file executable PE yang berbahaya.
Tiga puluh tiga pekerja IT DPRK ditemukan berkomunikasi melalui jaringan IPMsg yang sama. Entri log terpisah merujuk pada rencana untuk mencuri dari Arcano, sebuah game GalaChain, menggunakan proxy Nigeria, meskipun hasil upaya tersebut tidak jelas dari data yang ada.

ZachXBT menggambarkan kluster ini sebagai kurang canggih secara operasional dibandingkan kelompok DPRK tingkat atas seperti Applejeus atau Tradertraitor. Ia sebelumnya memperkirakan bahwa pekerja IT DPRK secara kolektif menghasilkan puluhan juta dolar per bulan. Ia mencatat bahwa kelompok tingkat rendah seperti ini menarik aktor ancaman karena risikonya rendah dan persaingannya minimal.

Domain luckyguys.site offline pada hari Kamis, sehari setelah ZachXBT mempublikasikan temuan-temuannya. Ia memastikan bahwa dataset lengkap telah diarsipkan sebelum situs tersebut ditutup.

Penyelidikan ini memberikan gambaran langsung tentang bagaimana sel-sel pekerja TI DPRK mengumpulkan pembayaran, mempertahankan identitas palsu, dan memindahkan uang melalui sistem kripto dan fiat, dengan dokumentasi yang menunjukkan skala serta celah operasional yang diandalkan kelompok-kelompok ini untuk tetap aktif.