ZachXBT zverejnil uniknuté údaje o platbách v KĽDR, ktoré poukazujú na mesačný tok kryptomien do fiatových mien v hodnote 1 milióna dolárov

Kľúčové zistenia:

• Vyšetrovanie ZachaXBT z 8. apríla odhalilo platobný server IT pracovníkov KĽDR, ktorý od konca novembra 2025 spracoval platby v hodnote viac ako 3,5 milióna dolárov.
• V zozname napadnutých používateľov z luckyguys.site sa objavili tri subjekty sankcionované OFAC: Sobaeksu, Saenal a Songkwang.
• Interná stránka KĽDR bola 9. apríla 2026 odpojená, ale ZachXBT archivoval všetky údaje pred zverejnením 11-dielneho vlákna.

Severokórejskí hackeri používali predvolené heslo „123456“ na internom krypto platobnom serveri

Uniknuté údaje pochádzali zo zariadenia IT pracovníka KĽDR, ktoré bolo napadnuté malvérom na krádež informácií. Neznámy zdroj zdieľal súbory so ZachXBT, ktorý potvrdil, že materiál nebol nikdy verejne zverejnený. Extrahované záznamy obsahovali približne 390 účtov, záznamy z chatu IPMsg, vymyslené identity, históriu prehliadača a záznamy o transakciách s kryptomenami.

Internou platformou v centre vyšetrovania bola luckyguys.site, interne označovaná aj ako WebMsg. Fungovala ako messenger v štýle Discord, ktorý umožňoval IT pracovníkom KĽDR hlásiť platby svojim nadriadeným. Najmenej desať používateľov nikdy nezmenilo predvolené heslo, ktoré bolo nastavené na „123456“.

Zoznam používateľov obsahoval role, kórejské mená, mestá a kódované názvy skupín, ktoré zodpovedajú známym operáciám IT pracovníkov KĽDR. Tri spoločnosti uvedené v zozname, Sobaeksu, Saenal a Songkwang, sú v súčasnosti sankcionované Úradom pre kontrolu zahraničných aktív Ministerstva financií USA.

Platby boli potvrdené prostredníctvom centrálneho administrátorského účtu identifikovaného ako PC-1234. ZachXBT zdieľal príklady priamych správ od používateľa s prezývkou „Rascal“, ktoré podrobne opisovali prevody spojené s falošnými identitami v období od decembra 2025 do apríla 2026. Niektoré správy odkazovali na hongkonské adresy pre faktúry a tovar, hoci ich pravdivosť nebola overená.

Súvisiace adresy peňaženiek na platby prijali počas tohto obdobia viac ako 3,5 milióna dolárov, čo predstavuje približne 1 milión dolárov mesačne. Pracovníci používali falošné právne dokumenty a falošné identity, aby získali zamestnanie. Kryptomeny boli buď priamo prevádzané z búrz, alebo konvertované na fiat prostredníctvom čínskych bankových účtov s využitím platforiem ako Payoneer. Administrátorský účet PC-1234 následne potvrdil prijatie a distribuoval prihlasovacie údaje pre rôzne krypto a fintech platformy.

Analýza on-chain prepojila interné platobné adresy so známymi skupinami IT pracovníkov z KĽDR. Boli identifikované dve konkrétne adresy: adresa Ethereum a adresa Tron, ktoré spoločnosť Tether zmrazila v decembri 2025.

ZachXBT použil celý súbor údajov na zmapovanie kompletnej organizačnej štruktúry siete, vrátane súhrnných platieb na používateľa a na skupinu. Zverejnil interaktívny organizačný diagram pokrývajúci obdobie od decembra 2025 do februára 2026 na investigation.io/dprk-itw-breach, prístupný s heslom „123456“.

Z kompromitovaného zariadenia a záznamov z chatu sa získali ďalšie podrobnosti. Pracovníci používali VPN Astrill a falošné identity na uchádzanie sa o pracovné miesta. Vnútorné diskusie na Slacku obsahovali príspevok od používateľa s názvom „Nami“, ktorý zdieľal blog o uchádzačovi o prácu z KĽDR, ktorý bol deepfake. Správca tiež poslal pracovníkom v období od novembra 2025 do februára 2026 43 školiacich modulov Hex-Rays a IDA Pro, ktoré sa týkali disasemblácie, dekompilácie a ladenia. Jeden zdieľaný odkaz sa konkrétne zaoberal rozbaľovaním nepriateľských spustiteľných súborov PE.
Bolo zistené, že tridsaťtri IT pracovníkov z KĽDR komunikovalo prostredníctvom tej istej siete IPMsg. Samostatné záznamy v protokoloch odkazovali na plány na krádež z Arcano, hry GalaChain, s využitím nigérijského proxy, hoci výsledok tohto úsilia nebol z údajov jasný.

ZachXBT charakterizoval túto skupinu ako menej sofistikovanú z hľadiska operácií v porovnaní s vyššie postavenými skupinami z KĽDR, ako sú Applejeus alebo Tradertraitor. Predtým odhadoval, že IT pracovníci z KĽDR spoločne generujú mesačne sumy v hodnote niekoľkých miliónov. Poznamenal, že skupiny nižšej úrovne, ako je táto, priťahujú útočníkov, pretože riziko je nízke a konkurencia minimálna.

Doména luckyguys.site bola vo štvrtok, deň po tom, čo ZachXBT zverejnil svoje zistenia, odpojená. Potvrdil, že kompletný súbor údajov bol archivovaný predtým, ako bola stránka zrušená.

Vyšetrovanie ponúka priamy pohľad na to, ako bunky IT pracovníkov z KĽDR zbierajú platby, udržiavajú falošné identity a presúvajú peniaze cez kryptomenové a fiat systémy, s dokumentáciou, ktorá ukazuje ako rozsah, tak aj operačné medzery, na ktoré sa tieto skupiny spoliehajú, aby zostali aktívne.