ZachXBT divulga dados vazados sobre pagamentos da Coreia do Norte que revelam um fluxo mensal de US$ 1 milhão de criptomoedas para moeda fiduciária

Pontos principais:

• A investigação de ZachXBT de 8 de abril expôs um servidor de pagamentos de profissionais de TI da RPDC que processou mais de US$ 3,5 milhões desde o final de novembro de 2025.
• Três entidades sancionadas pelo OFAC, Sobaeksu, Saenal e Songkwang, apareceram na lista de usuários comprometida do site luckyguys.site.
• O site interno da Coreia do Norte ficou fora do ar em 9 de abril de 2026, mas ZachXBT arquivou todos os dados antes de publicar a thread de 11 partes.

Hackers norte-coreanos usaram a senha padrão '123456' em servidor interno de pagamentos criptográficos

Os dados vazados vieram do dispositivo de um funcionário de TI da RPDC comprometido por um malware infostealer. Uma fonte anônima compartilhou os arquivos com ZachXBT, que confirmou que o material nunca havia sido divulgado publicamente. Os registros extraídos incluíam aproximadamente 390 contas, logs de bate-papo do IPMsg, identidades falsas, histórico do navegador e registros de transações de criptomoedas.

A plataforma interna no centro da investigação era o luckyguys.site, também conhecido internamente como WebMsg. Ela funcionava como um mensageiro no estilo Discord, permitindo que os profissionais de TI da RPDC relatassem pagamentos aos seus supervisores. Pelo menos dez usuários nunca haviam alterado a senha padrão, que estava definida como “123456”.

A lista de usuários continha funções, nomes coreanos, cidades e nomes de grupos codificados consistentes com operações conhecidas de profissionais de TI da Coreia do Norte. Três empresas que aparecem na lista, Sobaeksu, Saenal e Songkwang, estão atualmente sob sanções do Escritório de Controle de Ativos Estrangeiros do Tesouro dos EUA.

Os pagamentos foram confirmados por meio de uma conta de administrador central identificada como PC-1234. ZachXBT compartilhou exemplos de mensagens diretas de um usuário apelidado de “Rascal”, que detalhavam transferências vinculadas a identidades fraudulentas entre dezembro de 2025 e abril de 2026. Algumas mensagens faziam referência a endereços em Hong Kong para contas e mercadorias, embora sua autenticidade não tenha sido verificada.

Os endereços de carteiras de pagamento associados receberam mais de US$ 3,5 milhões durante esse período, o que equivale a aproximadamente US$ 1 milhão por mês. Os trabalhadores usavam documentos legais falsificados e identidades falsas para conseguir emprego. As criptomoedas eram transferidas diretamente de exchanges ou convertidas em moeda fiduciária por meio de contas bancárias chinesas usando plataformas como a Payoneer. A conta de administrador PC-1234 então confirmava o recebimento e distribuía credenciais para várias plataformas de criptomoedas e fintech.

A análise on-chain vinculou os endereços de pagamento internos a grupos conhecidos de trabalhadores de TI da Coreia do Norte. Dois endereços específicos foram identificados: um endereço Ethereum e um endereço Tron que a Tether congelou em dezembro de 2025.

ZachXBT utilizou o conjunto de dados completo para mapear a estrutura organizacional completa da rede, incluindo os totais de pagamentos por usuário e por grupo. Ele publicou um organograma interativo cobrindo o período de dezembro de 2025 a fevereiro de 2026 em investigation.io/dprk-itw-breach, acessível com a senha “123456”.

O dispositivo comprometido e os registros de bate-papo revelaram detalhes adicionais. Os funcionários usavam o Astrill VPN e identidades falsas para se candidatar a vagas de emprego. Discussões internas no Slack incluíram uma postagem de um usuário chamado “Nami” compartilhando um blog sobre um candidato norte-coreano que usava deepfake. O administrador também enviou 43 módulos de treinamento do Hex-Rays e do IDA Pro aos funcionários entre novembro de 2025 e fevereiro de 2026, abrangendo desmontagem, descompilação e depuração. Um link compartilhado abordava especificamente a descompactação de executáveis PE hostis.

Trinta e três trabalhadores de TI da Coreia do Norte foram encontrados se comunicando através da mesma rede IPMsg. Entradas separadas nos registros faziam referência a planos para roubar da Arcano, um jogo da GalaChain, usando um proxy nigeriano, embora o resultado dessa tentativa não estivesse claro a partir dos dados.

ZachXBT caracterizou esse cluster como menos sofisticado operacionalmente do que grupos de nível superior da Coreia do Norte, como Applejeus ou Tradertraitor. Ele estimou anteriormente que os profissionais de TI da Coreia do Norte geram coletivamente vários milhões por mês. Ele observou que grupos de nível inferior como este atraem agentes de ameaças porque o risco é baixo e a concorrência é mínima.

O domínio luckyguys.site ficou fora do ar na quinta-feira, um dia após ZachXBT publicar suas descobertas. Ele confirmou que o conjunto de dados completo foi arquivado antes que o site fosse retirado do ar.

A investigação oferece uma visão direta de como as células de profissionais de TI da Coreia do Norte coletam pagamentos, mantêm identidades falsas e movimentam dinheiro por meio de sistemas de criptomoedas e moedas fiduciárias, com documentação que mostra tanto a escala quanto as lacunas operacionais das quais esses grupos dependem para permanecerem ativos.