ZachXBT pubblica dati trapelati sui pagamenti della Corea del Nord che rivelano un flusso mensile di 1 milione di dollari da criptovalute a valuta fiat

• L'indagine di ZachXBT dell'8 aprile ha portato alla luce un server di pagamento per i tecnici informatici della Corea del Nord che ha elaborato oltre 3,5 milioni di dollari dalla fine di novembre 2025.
• Tre entità soggette a sanzioni OFAC, Sobaeksu, Saenal e Songkwang, sono apparse nell'elenco degli utenti violato da luckyguys.site.
• Il sito interno della Corea del Nord è andato offline il 9 aprile 2026, ma ZachXBT ha archiviato tutti i dati prima di pubblicare il thread in 11 parti.

Gli hacker nordcoreani hanno utilizzato la password predefinita "123456" su un server interno di pagamenti in criptovaluta

I dati trapelati provenivano dal dispositivo di un operatore IT della Corea del Nord compromesso da un malware di tipo infostealer. Una fonte anonima ha condiviso i file con ZachXBT, il quale ha confermato che il materiale non era mai stato reso pubblico. I record estratti includevano circa 390 account, log di chat IPMsg, identità fittizie, cronologia del browser e registrazioni di transazioni in criptovaluta.

La piattaforma interna al centro dell'indagine era luckyguys.site, denominata internamente anche WebMsg. Funzionava come una messaggistica in stile Discord, consentendo ai tecnici informatici della Corea del Nord di segnalare i pagamenti ai propri referenti. Almeno dieci utenti non avevano mai cambiato la password predefinita, impostata su "123456".

L'elenco degli utenti conteneva ruoli, nomi coreani, città e nomi di gruppi in codice coerenti con le operazioni note degli operatori IT della Corea del Nord. Tre società presenti nell'elenco, Sobaeksu, Saenal e Songkwang, sono attualmente soggette a sanzioni da parte dell'Ufficio del Tesoro degli Stati Uniti per il controllo dei beni stranieri (OFAC).

I pagamenti sono stati confermati tramite un account amministrativo centrale identificato come PC-1234. ZachXBT ha condiviso esempi di messaggi diretti da un utente soprannominato "Rascal", che descrivevano in dettaglio trasferimenti legati a identità fraudolente nel periodo compreso tra dicembre 2025 e aprile 2026. Alcuni messaggi facevano riferimento a indirizzi di Hong Kong per fatture e merci, sebbene la loro autenticità non fosse stata verificata.

Gli indirizzi dei portafogli di pagamento associati hanno ricevuto più di 3,5 milioni di dollari durante quel periodo, pari a circa 1 milione di dollari al mese. I lavoratori hanno utilizzato documenti legali contraffatti e identità false per ottenere un impiego. Le criptovalute venivano trasferite direttamente dagli exchange o convertite in valuta fiat tramite conti bancari cinesi utilizzando piattaforme come Payoneer. L'account amministrativo PC-1234 ha poi confermato la ricezione e distribuito le credenziali per varie piattaforme di criptovalute e fintech.

L'analisi on-chain ha collegato gli indirizzi di pagamento interni a gruppi noti di lavoratori IT della Corea del Nord. Sono stati identificati due indirizzi specifici: un indirizzo Ethereum e un indirizzo Tron che Tether ha congelato nel dicembre 2025.

ZachXBT ha utilizzato l'intero set di dati per mappare la struttura organizzativa completa della rete, inclusi i totali dei pagamenti per utente e per gruppo. Ha pubblicato un organigramma interattivo che copre il periodo da dicembre 2025 a febbraio 2026 su investigation.io/dprk-itw-breach, accessibile con la password "123456".

Il dispositivo compromesso e i log delle chat hanno fornito ulteriori dettagli. I lavoratori hanno utilizzato Astrill VPN e identità false per candidarsi ai lavori. Le discussioni interne su Slack includevano un post di un utente di nome "Nami" che condivideva un blog su un candidato deepfake della Corea del Nord. L'amministratore ha inoltre inviato 43 moduli di formazione su Hex-Rays e IDA Pro ai lavoratori tra novembre 2025 e febbraio 2026, riguardanti il disassemblaggio, la decompilazione e il debug. Un link condiviso trattava specificamente il decomprimere eseguibili PE ostili. Sono stati individuati trentatré lavoratori IT della Corea del Nord che comunicavano attraverso la stessa rete IPMsg. Voci di log separate facevano riferimento a piani per rubare da Arcano, un gioco GalaChain, utilizzando un proxy nigeriano, sebbene l’esito di tale tentativo non fosse chiaro dai dati.

ZachXBT ha descritto questo cluster come meno sofisticato dal punto di vista operativo rispetto a gruppi nordcoreani di livello superiore come Applejeus o Tradertraitor. In precedenza aveva stimato che gli operatori IT della Corea del Nord generassero collettivamente diverse centinaia di migliaia di dollari al mese. Ha osservato che gruppi di basso livello come questo attraggono gli autori delle minacce perché il rischio è basso e la concorrenza è minima.

Il dominio luckyguys.site è andato offline giovedì, il giorno dopo che ZachXBT ha pubblicato le sue scoperte. Ha confermato che l'intero set di dati è stato archiviato prima che il sito venisse chiuso. L'indagine offre una visione diretta di come le cellule di operatori IT della Corea del Nord raccolgano i pagamenti, mantengano identità false e spostino denaro attraverso sistemi crittografici e fiat, con documentazione che mostra sia la portata che le lacune operative su cui questi gruppi fanno affidamento per rimanere attivi.