ZachXBT opublikował ujawnione dane dotyczące płatności z Korei Północnej, z których wynika, że co miesiąc przepływa tam 1 mln dolarów w ramach transferu kryptowalut na waluty fiducjarne

Najważniejsze wnioski:

• Dochodzenie przeprowadzone przez ZachXBT 8 kwietnia ujawniło serwer płatności pracowników IT z KRLD, który od końca listopada 2025 r. przetworzył ponad 3,5 mln dolarów.
• Na liście użytkowników, do której włamano się za pośrednictwem serwisu luckyguys.site, pojawiły się trzy podmioty objęte sankcjami OFAC: Sobaeksu, Saenal i Songkwang.
• Wewnętrzna strona KRLD została wyłączona 9 kwietnia 2026 r., ale ZachXBT zarchiwizował wszystkie dane przed opublikowaniem 11-częściowego wątku.

Północnokoreańscy hakerzy używali domyślnego hasła „123456” na wewnętrznym serwerze płatności kryptowalutowych

Wyciekające dane pochodziły z urządzenia pracownika IT z KRLD, które zostało zainfekowane złośliwym oprogramowaniem typu infostealer. Anonimowe źródło udostępniło pliki ZachXBT, który potwierdził, że materiały te nigdy nie zostały publicznie ujawnione. Wyodrębnione zapisy obejmowały około 390 kont, logi czatu IPMsg, sfabrykowane tożsamości, historię przeglądarki oraz zapisy transakcji kryptowalutowych.

Wewnętrzną platformą będącą przedmiotem śledztwa była witryna luckyguys.site, nazywana wewnętrznie również WebMsg. Działała ona jako komunikator w stylu Discorda, umożliwiając pracownikom IT z KRLD zgłaszanie płatności swoim przełożonym. Co najmniej dziesięciu użytkowników nigdy nie zmieniło domyślnego hasła, które było ustawione na „123456”.

Lista użytkowników zawierała role, koreańskie imiona, miasta oraz zakodowane nazwy grup zgodne ze znanymi operacjami pracowników IT z KRLD. Trzy firmy występujące na liście, Sobaeksu, Saenal i Songkwang, są obecnie objęte sankcjami przez Biuro Kontroli Aktywów Zagranicznych Departamentu Skarbu USA.

Płatności zostały potwierdzone za pośrednictwem centralnego konta administratora oznaczonego jako PC-1234. ZachXBT udostępnił przykłady bezpośrednich wiadomości od użytkownika o pseudonimie „Rascal”, które szczegółowo opisywały przelewy powiązane z fałszywymi tożsamościami w okresie od grudnia 2025 r. do kwietnia 2026 r. Niektóre wiadomości zawierały odniesienia do adresów w Hongkongu dotyczących rachunków i towarów, choć ich autentyczność nie została zweryfikowana.

Powiązane adresy portfeli płatniczych otrzymały w tym okresie ponad 3,5 miliona dolarów, co odpowiada około 1 milionowi dolarów miesięcznie. Pracownicy wykorzystywali sfałszowane dokumenty prawne i fałszywe tożsamości, aby uzyskać zatrudnienie. Kryptowaluty były albo przelewane bezpośrednio z giełd, albo zamieniane na waluty fiducjarne za pośrednictwem chińskich kont bankowych przy użyciu platform takich jak Payoneer. Konto administracyjne PC-1234 potwierdzało następnie odbiór i rozsyłało dane uwierzytelniające do różnych platform kryptowalutowych i fintechowych.

Analiza łańcucha bloków powiązała wewnętrzne adresy płatnicze ze znanymi grupami pracowników IT z KRLD. Zidentyfikowano dwa konkretne adresy: adres Ethereum i adres Tron, które Tether zamroził w grudniu 2025 r.

ZachXBT wykorzystał pełny zbiór danych do sporządzenia mapy kompletnej struktury organizacyjnej sieci, w tym sum płatności na użytkownika i na grupę. Opublikował interaktywny schemat organizacyjny obejmujący okres od grudnia 2025 r. do lutego 2026 r. na stronie investigation.io/dprk-itw-breach, dostępnej po wpisaniu hasła „123456”.

Zainfekowane urządzenie i logi czatu dostarczyły dodatkowych szczegółów. Pracownicy korzystali z sieci VPN Astrill i fałszywych tożsamości, aby ubiegać się o pracę. Wewnętrzne dyskusje na Slacku zawierały post użytkownika o pseudonimie „Nami”, który udostępnił bloga o kandydacie z KRLD wykorzystującym deepfake. Administrator wysłał również pracownikom 43 moduły szkoleniowe Hex-Rays i IDA Pro w okresie od listopada 2025 r. do lutego 2026 r., obejmujące dezasemblację, dekompilację i debugowanie. Jeden z udostępnionych linków dotyczył konkretnie rozpakowywania wrogich plików wykonywalnych PE.
Wykryto trzydziestu trzech pracowników IT z KRLD komunikujących się za pośrednictwem tej samej sieci IPMsg. Oddzielne wpisy w logach odnosiły się do planów kradzieży z Arcano, gry GalaChain, przy użyciu nigeryjskiego proxy, choć wynik tych działań nie był jasny na podstawie danych.

ZachXBT scharakteryzował tę grupę jako mniej zaawansowaną operacyjnie niż grupy wyższego szczebla z KRLD, takie jak Applejeus czy Tradertraitor. Wcześniej oszacował, że pracownicy IT z KRLD generują łącznie wielomilionowe kwoty miesięcznie. Zauważył, że grupy niższego szczebla, takie jak ta, przyciągają podmioty stanowiące zagrożenie, ponieważ ryzyko jest niskie, a konkurencja minimalna.

Domena luckyguys.site została wyłączona w czwartek, dzień po opublikowaniu wyników badań przez ZachXBT. Potwierdził on, że pełny zbiór danych został zarchiwizowany przed zamknięciem strony.

Dochodzenie daje bezpośredni wgląd w to, w jaki sposób komórki pracowników IT z KRLD pobierają płatności, utrzymują fałszywe tożsamości i przenoszą pieniądze za pośrednictwem systemów kryptowalutowych i fiducjarnych, wraz z dokumentacją pokazującą zarówno skalę, jak i luki operacyjne, na których grupy te polegają, aby pozostać aktywne.