ZachXBT publiserer lekkede DPRK-betalingsdata som viser en månedlig krypto-til-fiat-strøm på 1 million dollar

Viktige punkter:

• ZachXBTs etterforskning 8. april avdekket en betalingsserver for DPRK IT-arbeidere som har behandlet over 3,5 millioner dollar siden slutten av november 2025.
• Tre OFAC-sanksjonerte enheter, Sobaeksu, Saenal og Songkwang, dukket opp i den kompromitterte brukerlisten fra luckyguys.site.
• Det interne DPRK-nettstedet gikk offline 9. april 2026, men ZachXBT arkiverte alle data før han publiserte tråden i 11 deler.

Nordkoreanske hackere brukte standardpassordet «123456» på intern kryptobetalingserver

De lekkede dataene stammet fra en enhet tilhørende en DPRK IT-arbeider som ble kompromittert av infostealer-skadevare. En ikke-navngitt kilde delte filene med ZachXBT, som bekreftet at materialet aldri hadde blitt offentliggjort. De uthentede postene inkluderte omtrent 390 kontoer, IPMsg-chatlogger, fabrikkerte identiteter, nettleserhistorikk og kryptovaluta-transaksjonslogger.

Den interne plattformen som sto sentralt i etterforskningen var luckyguys.site, internt også omtalt som WebMsg. Den fungerte som en Discord-lignende meldingstjeneste som gjorde det mulig for DPRK-IT-arbeidere å rapportere betalinger til sine førere. Minst ti brukere hadde aldri endret standardpassordet, som var satt til «123456».

Brukerlisten inneholdt roller, koreanske navn, byer og kodede gruppenavn som samsvarte med kjente DPRK-operasjoner med IT-arbeidere. Tre selskaper som fremkom i listen, Sobaeksu, Saenal og Songkwang, er for tiden sanksjonert av det amerikanske finansdepartementets Office of Foreign Assets Control.

Betalinger ble bekreftet gjennom en sentral administratorkonto identifisert som PC-1234. ZachXBT delte eksempler på direktemeldinger fra en bruker med kallenavnet «Rascal», som beskrev overføringer knyttet til falske identiteter fra desember 2025 til april 2026. Noen meldinger refererte til Hongkong-adresser for regninger og varer, selv om ektheten ikke ble verifisert.

De tilknyttede betalings-lommebokadressene mottok mer enn 3,5 millioner dollar i denne perioden, tilsvarende omtrent 1 million dollar per måned. Arbeiderne brukte forfalskede juridiske dokumenter og falske identiteter for å få ansettelse. Krypto ble enten overført direkte fra børser eller konvertert til fiat via kinesiske bankkontoer ved hjelp av plattformer som Payoneer. Administratorkontoen PC-1234 bekreftet deretter mottak og distribuerte innloggingsopplysninger for ulike krypto- og fintech-plattformer.

Onchain-analyse knyttet de interne betalingsadressene til kjente klynger av DPRK IT-arbeidere. To spesifikke adresser ble identifisert: en Ethereum-adresse og en Tron-adresse som Tether frøs i desember 2025.

ZachXBT brukte hele datasettet til å kartlegge den komplette organisasjonsstrukturen til nettverket, inkludert betalingssummer per bruker og per gruppe. Han publiserte et interaktivt organisasjonskart som dekker desember 2025 til februar 2026 på investigation.io/dprk-itw-breach, tilgjengelig med passordet «123456».

Den kompromitterte enheten og chatloggene ga ytterligere detaljer. Arbeiderne brukte Astrill VPN og falske personaer for å søke på jobber. Interne Slack-diskusjoner inkluderte et innlegg fra en bruker ved navn «Nami» som delte en blogg om en deepfake-søker som DPRK-arbeider. Administratoren sendte også 43 Hex-Rays- og IDA Pro-opplæringsmoduler til arbeiderne mellom november 2025 og februar 2026, som dekket disassembly, dekompilering og debugging. Én delt lenke omhandlet spesifikt unpacking av fiendtlige PE-eksekverbare filer.

Tretti-tre DPRK IT-arbeidere ble funnet å kommunisere gjennom det samme IPMsg-nettverket. Separate loggoppføringer refererte til planer om å stjele fra Arcano, et GalaChain-spill, ved å bruke en nigeriansk proxy, selv om utfallet av forsøket ikke fremgikk tydelig av dataene.

ZachXBT karakteriserte denne klyngen som mindre operasjonelt sofistikert enn DPRK-grupper på høyere nivå, som Applejeus eller Tradertraitor. Han anslo tidligere at DPRK IT-arbeidere samlet genererer flere sifre i millionklassen per måned. Han bemerket at lavnivågrupper som denne tiltrekker trusselaktører fordi risikoen er lav og konkurransen minimal.

Domenet luckyguys.site gikk offline torsdag, dagen etter at ZachXBT publiserte funnene sine. Han bekreftet at hele datasettet var arkivert før nettstedet ble tatt ned.

Etterforskningen gir et direkte innblikk i hvordan DPRK-celler med IT-arbeidere samler inn betalinger, vedlikeholder falske identiteter og flytter penger gjennom krypto- og fiat-systemer, med dokumentasjon som viser både omfanget og de operasjonelle hullene disse gruppene er avhengige av for å holde seg aktive.