ZachXBT Menerbitkan Data Pembayaran DPRK yang Bocor Menunjukkan Saluran Paip Kripto-ke-Fiat Bernilai $1J Sebulan

Intipati Utama:

• Siasatan ZachXBT pada 8 April mendedahkan pelayan pembayaran pekerja IT DPRK yang memproses lebih daripada $3.5 juta sejak lewat November 2025.
• Tiga entiti yang disenarai sekatan OFAC, Sobaeksu, Saenal, dan Songkwang, muncul dalam senarai pengguna yang dibocorkan daripada luckyguys.site.
• Laman dalaman DPRK itu ditutup pada 9 April 2026, namun ZachXBT telah mengarkibkan semua data sebelum menerbitkan bebenang 11 bahagian tersebut.

Penggodam Korea Utara Menggunakan Kata Laluan Lalai ‘123456’ pada Pelayan Pembayaran Kripto Dalaman

Data yang dibocorkan berasal daripada peranti seorang pekerja IT DPRK yang telah dikompromi oleh perisian hasad infostealer. Sumber yang tidak dinamakan berkongsi fail tersebut dengan ZachXBT, yang mengesahkan bahan itu tidak pernah diterbitkan secara umum. Rekod yang diekstrak merangkumi kira-kira 390 akaun, log sembang IPMsg, identiti rekaan, sejarah pelayar, dan rekod transaksi mata wang kripto.

Platform dalaman yang menjadi tumpuan siasatan ialah luckyguys.site, yang turut dirujuk secara dalaman sebagai WebMsg. Ia berfungsi sebagai pemesejan gaya Discord, membolehkan pekerja IT DPRK melaporkan pembayaran kepada pengendali mereka. Sekurang-kurangnya sepuluh pengguna tidak pernah menukar kata laluan lalai, yang ditetapkan sebagai “123456.”

Senarai pengguna mengandungi peranan, nama Korea, bandar, dan nama kumpulan berkod yang selari dengan operasi pekerja IT DPRK yang diketahui. Tiga syarikat yang muncul dalam senarai tersebut, Sobaeksu, Saenal, dan Songkwang, kini dikenakan sekatan oleh Office of Foreign Assets Control di bawah Jabatan Perbendaharaan A.S.

Pembayaran disahkan melalui akaun pentadbir pusat yang dikenal pasti sebagai PC-1234. ZachXBT berkongsi contoh mesej langsung daripada seorang pengguna yang digelar “Rascal,” yang memperincikan pemindahan yang dikaitkan dengan identiti palsu merentasi Disember 2025 hingga April 2026. Sesetengah mesej merujuk kepada alamat Hong Kong untuk bil dan barangan, walaupun kesahihannya tidak disahkan.

Alamat dompet pembayaran yang berkaitan menerima lebih daripada $3.5 juta dalam tempoh tersebut, bersamaan kira-kira $1 juta sebulan. Para pekerja menggunakan dokumen undang-undang yang dipalsukan dan identiti palsu untuk mendapatkan pekerjaan. Kripto sama ada dipindahkan terus daripada bursa atau ditukarkan kepada fiat melalui akaun bank China menggunakan platform seperti Payoneer. Akaun pentadbir PC-1234 kemudian mengesahkan penerimaan dan mengagihkan kelayakan untuk pelbagai platform kripto dan fintech.

Analisis onchain mengaitkan alamat pembayaran dalaman itu dengan kluster pekerja IT DPRK yang diketahui. Dua alamat khusus dikenal pasti: satu alamat Ethereum dan satu alamat Tron yang dibekukan oleh Tether pada Disember 2025.

ZachXBT menggunakan set data penuh untuk memetakan keseluruhan struktur organisasi rangkaian tersebut, termasuk jumlah pembayaran bagi setiap pengguna dan setiap kumpulan. Beliau menerbitkan carta organisasi interaktif yang meliputi Disember 2025 hingga Februari 2026 di investigation.io/dprk-itw-breach, boleh diakses dengan kata laluan “123456.”

Peranti yang dikompromi dan log sembang menghasilkan butiran tambahan. Para pekerja menggunakan Astrill VPN dan persona palsu untuk memohon pekerjaan. Perbincangan Slack dalaman termasuk satu hantaran daripada pengguna bernama “Nami” yang berkongsi blog tentang pemohon deepfake pekerja DPRK. Pentadbir juga menghantar 43 modul latihan Hex-Rays dan IDA Pro kepada pekerja antara November 2025 dan Februari 2026, meliputi pembongkaran (disassembly), penyahkompilasian (decompilation), dan penyahpepijatan (debugging). Satu pautan yang dikongsi secara khusus membincangkan cara membongkar (unpacking) executable PE yang bermusuhan.

Tiga puluh tiga pekerja IT DPRK didapati berkomunikasi melalui rangkaian IPMsg yang sama. Entri log berasingan merujuk kepada rancangan untuk mencuri daripada Arcano, sebuah permainan GalaChain, menggunakan proksi Nigeria, walaupun hasil usaha tersebut tidak jelas daripada data itu.

ZachXBT menyifatkan kluster ini sebagai kurang canggih dari segi operasi berbanding kumpulan DPRK bertaraf lebih tinggi seperti Applejeus atau Tradertraitor. Beliau sebelum ini menganggarkan bahawa pekerja IT DPRK secara kolektif menjana jumlah berbilang tujuh angka setiap bulan. Beliau menyatakan bahawa kumpulan bertaraf rendah seperti ini menarik pelaku ancaman kerana risikonya rendah dan persaingan adalah minimum.

Domain luckyguys.site menjadi tidak aktif pada hari Khamis, sehari selepas ZachXBT menerbitkan dapatan beliau. Beliau mengesahkan set data penuh telah diarkibkan sebelum laman itu diturunkan.

Siasatan ini menawarkan pandangan langsung tentang bagaimana sel pekerja IT DPRK mengutip pembayaran, mengekalkan identiti palsu, dan mengalihkan wang melalui sistem kripto dan fiat, dengan dokumentasi yang menunjukkan kedua-dua skala serta jurang operasi yang kumpulan ini bergantung padanya untuk terus aktif.