ZachXBT опубликовал утечку данных о платежах КНДР, свидетельствующих о ежемесячном потоке криптовалюты в фиатную валюту на сумму 1 млн долларов

Основные выводы:

• Расследование ZachXBT от 8 апреля раскрыло платежный сервер ИТ-специалистов КНДР, который с конца ноября 2025 года обработал платежи на сумму более 3,5 миллиона долларов.
• Три организации, подпадающие под санкции OFAC — Sobaeksu, Saenal и Songkwang — фигурировали в списке взломанных учетных записей пользователей с сайта luckyguys.site.
• Внутренний сайт КНДР был отключен 9 апреля 2026 года, но ZachXBT заархивировал все данные перед публикацией 11-частной ветки.

Северокорейские хакеры использовали стандартный пароль «123456» на внутреннем сервере криптовалютных платежей

Утечка данных произошла с устройства ИТ-специалиста из КНДР, зараженного вредоносным ПО для кражи информации. Неназванный источник поделился файлами с ZachXBT, который подтвердил, что эти материалы никогда не публиковались. Извлеченные записи включали около 390 учетных записей, журналы чата IPMsg, вымышленные личности, историю браузера и записи о транзакциях с криптовалютой.

Внутренняя платформа, ставшая предметом расследования, называлась luckyguys.site, также известная внутри организации как WebMsg. Она функционировала как мессенджер в стиле Discord, позволяя ИТ-специалистам КНДР сообщать о платежах своим кураторам. По крайней мере десять пользователей никогда не меняли пароль по умолчанию, который был установлен как «123456».

Список пользователей содержал роли, корейские имена, города и закодированные названия групп, соответствующие известным операциям ИТ-специалистов КНДР. Три компании, фигурирующие в списке — Sobaeksu, Saenal и Songkwang — в настоящее время находятся под санкциями Управления по контролю за иностранными активами Министерства финансов США.

Платежи подтверждались через центральную учетную запись администратора, идентифицированную как PC-1234. ZachXBT поделился примерами личных сообщений от пользователя с ником «Rascal», в которых подробно описывались переводы, связанные с мошенническими личностями, за период с декабря 2025 года по апрель 2026 года. В некоторых сообщениях упоминались адреса в Гонконге для счетов и товаров, хотя их подлинность не была подтверждена.

Связанные с этим платежные адреса кошельков получили более 3,5 миллиона долларов за этот период, что соответствует примерно 1 миллиону долларов в месяц. Работники использовали поддельные юридические документы и фальшивые личности для получения работы. Криптовалюта либо переводилась напрямую с бирж, либо конвертировалась в фиатные деньги через китайские банковские счета с использованием таких платформ, как Payoneer. Затем административный аккаунт PC-1234 подтверждал получение и распределял учетные данные для различных криптовалютных и финтех-платформ.

Анализ ончейн-данных связал внутренние платежные адреса с известными кластерами ИТ-специалистов из КНДР. Были идентифицированы два конкретных адреса: адрес Ethereum и адрес Tron, которые Tether заморозил в декабре 2025 года.

ZachXBT использовал полный набор данных для построения полной организационной структуры сети, включая общие суммы платежей на одного пользователя и на одну группу. Он опубликовал интерактивную организационную схему, охватывающую период с декабря 2025 года по февраль 2026 года, на сайте investigation.io/dprk-itw-breach, доступ к которой можно получить с помощью пароля «123456».

Скомпрометированное устройство и журналы чата предоставили дополнительные детали. Работники использовали VPN Astrill и поддельные личности для подачи заявок на работу. Внутренние обсуждения в Slack включали сообщение от пользователя по имени «Nami», который поделился блогом о соискателе из КНДР, использовавшем дипфейк. Администратор также отправил работникам 43 учебных модуля по Hex-Rays и IDA Pro в период с ноября 2025 года по февраль 2026 года, охватывающих разборку, декомпиляцию и отладку. Одна из общих ссылок была посвящена именно распаковке вредоносных исполняемых PE-файлов.
Было обнаружено, что 33 ИТ-специалиста из КНДР общались через одну и ту же сеть IPMsg. Отдельные записи в журналах упоминали планы по краже средств из Arcano, игры на GalaChain, с использованием нигерийского прокси-сервера, хотя из данных не было ясно, чем закончилась эта попытка.

ZachXBT охарактеризовал этот кластер как менее изощренный в операционном плане, чем группы более высокого уровня из КНДР, такие как Applejeus или Tradertraitor. Ранее он оценивал, что ИТ-специалисты из КНДР в совокупности зарабатывают несколько миллионов долларов в месяц. Он отметил, что группы низшего уровня, подобные этой, привлекают злоумышленников, поскольку риск низкий, а конкуренция минимальна.

Домен luckyguys.site был отключен в четверг, на следующий день после того, как ZachXBT опубликовал свои выводы. Он подтвердил, что полный набор данных был заархивирован до того, как сайт был закрыт.

Расследование дает прямое представление о том, как ячейки ИТ-специалистов из КНДР собирают платежи, поддерживают поддельные личности и перемещают деньги через криптовалютные и фиатные системы, с документацией, которая показывает как масштаб, так и операционные пробелы, на которые эти группы полагаются, чтобы оставаться активными.