ZachXBT publiceert uitgelekte betalingsgegevens uit Noord-Korea waaruit blijkt dat er maandelijks 1 miljoen dollar via crypto naar fiat wordt overgemaakt

Belangrijkste conclusies:

• Het onderzoek van ZachXBT van 8 april bracht een betalingsserver voor IT-medewerkers van de DVK aan het licht die sinds eind november 2025 meer dan 3,5 miljoen dollar had verwerkt.
• Drie door de OFAC gesanctioneerde entiteiten, Sobaeksu, Saenal en Songkwang, kwamen voor in de gehackte gebruikerslijst van luckyguys.site.
• De interne Noord-Koreaanse site ging op 9 april 2026 offline, maar ZachXBT archiveerde alle gegevens voordat hij de 11-delige thread publiceerde.

Noord-Koreaanse hackers gebruikten standaardwachtwoord '123456' op interne cryptobetalingsserver

De gelekte gegevens waren afkomstig van het apparaat van een Noord-Koreaanse IT-medewerker dat was gecompromitteerd door infostealer-malware. Een anonieme bron deelde de bestanden met ZachXBT, die bevestigde dat het materiaal nooit openbaar was gemaakt. De geëxtraheerde records omvatten ongeveer 390 accounts, IPMsg-chatlogs, verzonnen identiteiten, browsergeschiedenis en transactiegegevens van cryptovaluta.

Het interne platform dat centraal stond in het onderzoek was luckyguys.site, intern ook wel WebMsg genoemd. Het functioneerde als een Discord-achtige messenger, waarmee IT-medewerkers uit Noord-Korea betalingen konden rapporteren aan hun handlers. Ten minste tien gebruikers hadden het standaardwachtwoord, dat was ingesteld op "123456", nooit gewijzigd.

De gebruikerslijst bevatte rollen, Koreaanse namen, steden en gecodeerde groepsnamen die overeenkomen met bekende operaties van IT-medewerkers uit Noord-Korea. Drie bedrijven die in de lijst voorkomen, Sobaeksu, Saenal en Songkwang, staan momenteel op de sanctielijst van het Office of Foreign Assets Control van het Amerikaanse ministerie van Financiën.

Betalingen werden bevestigd via een centraal beheerdersaccount met de naam PC-1234. ZachXBT deelde voorbeelden van directe berichten van een gebruiker met de bijnaam "Rascal", waarin gedetailleerde overboekingen werden beschreven die verband hielden met frauduleuze identiteiten in de periode van december 2025 tot april 2026. Sommige berichten verwezen naar adressen in Hongkong voor rekeningen en goederen, hoewel de authenticiteit daarvan niet werd geverifieerd.

De bijbehorende betalingsportemonnee-adressen ontvingen in die periode meer dan 3,5 miljoen dollar, wat neerkomt op ongeveer 1 miljoen dollar per maand. Werknemers gebruikten vervalste juridische documenten en valse identiteiten om aan werk te komen. Crypto werd ofwel rechtstreeks overgemaakt vanaf beurzen, ofwel omgezet in fiatgeld via Chinese bankrekeningen met behulp van platforms zoals Payoneer. Het beheerdersaccount PC-1234 bevestigde vervolgens de ontvangst en verdeelde inloggegevens voor diverse crypto- en fintech-platforms.

Onchain-analyse bracht de interne betalingsadressen in verband met bekende clusters van Noord-Koreaanse IT-werknemers. Er werden twee specifieke adressen geïdentificeerd: een Ethereum-adres en een Tron-adres die Tether in december 2025 bevroor.

ZachXBT gebruikte de volledige dataset om de complete organisatiestructuur van het netwerk in kaart te brengen, inclusief de totale betalingen per gebruiker en per groep. Hij publiceerde een interactief organigram voor de periode december 2025 tot en met februari 2026 op investigation.io/dprk-itw-breach, toegankelijk met het wachtwoord "123456".

Het gecompromitteerde apparaat en de chatlogs leverden aanvullende details op. Werknemers gebruikten Astrill VPN en valse identiteiten om te solliciteren. Interne Slack-discussies bevatten een bericht van een gebruiker genaamd "Nami" die een blog deelde over een deepfake-sollicitant die zich voordeed als een Noord-Koreaanse werknemer. De beheerder stuurde tussen november 2025 en februari 2026 ook 43 Hex-Rays- en IDA Pro-trainingsmodules naar werknemers, over disassemblage, decompilatie en debugging. Eén gedeelde link ging specifiek over het uitpakken van kwaadaardige PE-uitvoerbare bestanden.
Er werden drieëndertig IT-medewerkers uit Noord-Korea aangetroffen die via hetzelfde IPMsg-netwerk communiceerden. Afzonderlijke logboekvermeldingen verwezen naar plannen om te stelen van Arcano, een GalaChain-game, met behulp van een Nigeriaanse proxy, hoewel de uitkomst van die poging niet duidelijk was uit de gegevens.

ZachXBT typeerde deze cluster als minder operationeel geavanceerd dan Noord-Koreaanse groepen van een hoger niveau, zoals Applejeus of Tradertraitor. Eerder schatte hij dat Noord-Koreaanse IT-medewerkers gezamenlijk maandelijks miljoenen verdienen. Hij merkte op dat lagere groepen zoals deze bedreigingsactoren aantrekken omdat het risico laag is en de concurrentie minimaal.

Het domein luckyguys.site ging donderdag offline, de dag nadat ZachXBT zijn bevindingen had gepubliceerd. Hij bevestigde dat de volledige dataset was gearchiveerd voordat de site werd verwijderd.

Het onderzoek biedt een direct inzicht in hoe cellen van Noord-Koreaanse IT-medewerkers betalingen innen, valse identiteiten onderhouden en geld verplaatsen via crypto- en fiat-systemen, met documentatie die zowel de schaal als de operationele hiaten laat zien waarop deze groepen vertrouwen om actief te blijven.