ZachXBT publică date scurse privind plățile din Coreea de Nord, care indică un flux lunar de 1 milion de dolari din criptomonede în monedă fiduciară

Concluzii cheie:

• Ancheta lui ZachXBT din 8 aprilie a dezvăluit un server de plăți al angajaților IT din RPDC care a procesat peste 3,5 milioane de dolari din noiembrie 2025.
• Trei entități sancționate de OFAC, Sobaeksu, Saenal și Songkwang, au apărut în lista utilizatorilor compromiși de pe luckyguys.site.
• Site-ul intern al RPDC a fost scos offline pe 9 aprilie 2026, dar ZachXBT a arhivat toate datele înainte de a publica firul de discuție în 11 părți.

Hackerii nord-coreeni au folosit parola implicită „123456” pe serverul intern de plăți criptografice

Datele scurse proveneau de pe dispozitivul unui angajat IT din RPDC compromis de un malware de tip infostealer. O sursă anonimă a împărtășit fișierele cu ZachXBT, care a confirmat că materialul nu fusese niciodată făcut public. Înregistrările extrase includeau aproximativ 390 de conturi, jurnale de chat IPMsg, identități fabricate, istoricul browserului și înregistrări ale tranzacțiilor cu criptomonede.

Platforma internă aflată în centrul anchetei era luckyguys.site, denumită intern și WebMsg. Aceasta funcționa ca un serviciu de mesagerie de tip Discord, permițând angajaților IT din RPDC să raporteze plățile către coordonatorii lor. Cel puțin zece utilizatori nu schimbaseră niciodată parola implicită, care era setată la „123456”.

Lista de utilizatori conținea roluri, nume coreene, orașe și nume de grupuri codificate, în concordanță cu operațiunile cunoscute ale angajaților IT din RPDC. Trei companii care apar pe listă, Sobaeksu, Saenal și Songkwang, sunt în prezent sancționate de Oficiul de Control al Activelor Străine al Trezoreriei SUA.

Plățile au fost confirmate printr-un cont de administrator central identificat ca PC-1234. ZachXBT a distribuit exemple de mesaje directe de la un utilizator cu porecla „Rascal”, care detaliau transferuri legate de identități frauduloase din perioada decembrie 2025 – aprilie 2026. Unele mesaje făceau referire la adrese din Hong Kong pentru facturi și bunuri, deși autenticitatea acestora nu a fost verificată.

Adresele de portofel de plată asociate au primit peste 3,5 milioane de dolari în acea perioadă, echivalând cu aproximativ 1 milion de dolari pe lună. Muncitorii au folosit documente legale falsificate și identități false pentru a obține un loc de muncă. Criptomonedele au fost fie transferate direct de pe burse, fie convertite în monedă fiduciară prin conturi bancare chineze folosind platforme precum Payoneer. Contul de administrator PC-1234 a confirmat apoi primirea și a distribuit datele de autentificare pentru diverse platforme de criptomonede și fintech.

Analiza on-chain a legat adresele interne de plată de grupuri cunoscute de lucrători IT din RPDC. Au fost identificate două adrese specifice: o adresă Ethereum și o adresă Tron pe care Tether le-a înghețat în decembrie 2025.

ZachXBT a folosit setul complet de date pentru a cartografia structura organizațională completă a rețelei, inclusiv totalurile plăților pe utilizator și pe grup. El a publicat o organigramă interactivă care acoperă perioada decembrie 2025 – februarie 2026 la investigation.io/dprk-itw-breach, accesibilă cu parola „123456”.

Dispozitivul compromis și jurnalele de chat au furnizat detalii suplimentare. Angajații au folosit VPN-ul Astrill și identități false pentru a aplica la locuri de muncă. Discuțiile interne pe Slack au inclus o postare a unui utilizator numit „Nami” care a distribuit un blog despre un candidat nord-coreean care a folosit deepfake. Administratorul a trimis, de asemenea, 43 de module de instruire Hex-Rays și IDA Pro angajaților între noiembrie 2025 și februarie 2026, acoperind dezasamblarea, decompilarea și depanarea. Un link partajat se referea în mod specific la despachetarea executabilelor PE ostile.
Treizeci și trei de angajați IT din RPDC au fost descoperiți comunicând prin aceeași rețea IPMsg. Intrări separate din jurnal făceau referire la planuri de a fura de la Arcano, un joc GalaChain, folosind un proxy nigerian, deși rezultatul acelui efort nu era clar din date.

ZachXBT a caracterizat acest grup ca fiind mai puțin sofisticat din punct de vedere operațional decât grupurile de nivel superior din RPDC, precum Applejeus sau Tradertraitor. El a estimat anterior că lucrătorii IT din RPDC generează colectiv venituri de ordinul milioanelor de dolari pe lună. El a remarcat că grupurile de nivel inferior, precum acesta, atrag actorii de amenințare deoarece riscul este scăzut, iar concurența este minimă.

Domeniul luckyguys.site a fost scos offline joi, a doua zi după ce ZachXBT și-a publicat concluziile. El a confirmat că setul complet de date a fost arhivat înainte ca site-ul să fie închis.

Ancheta oferă o perspectivă directă asupra modului în care celulele de specialiști IT din Coreea de Nord colectează plăți, mențin identități false și transferă bani prin sisteme criptografice și fiduciare, cu documentație care arată atât amploarea, cât și lacunele operaționale pe care aceste grupuri se bazează pentru a rămâne active.