ZachXBT je objavil izpuščene podatke o plačilih v Severni Koreji, ki kažejo na mesečni pretok v višini 1 milijona dolarjev iz kriptovalut v fiat valute

Ključne ugotovitve:

• Preiskava ZachXBT z dne 8. aprila je razkrila plačilni strežnik IT-delavcev Severne Koreje, ki je od konca novembra 2025 obdelal več kot 3,5 milijona dolarjev.
• Na seznamu uporabnikov, ki je bil ukraden s spletne strani luckyguys.site, so se pojavile tri entitete, proti katerim je OFAC uvedel sankcije: Sobaeksu, Saenal in Songkwang.
• Notranja spletna stran Severne Koreje je 9. aprila 2026 prenehala delovati, vendar je ZachXBT arhiviral vse podatke, preden je objavil 11-delni niz objav.

Severokorejski hekerji so na notranjem strežniku za plačila s kriptovalutami uporabljali privzeto geslo »123456«

Prelitje podatkov je prišlo iz naprave IT-delavca iz Severne Koreje, ki jo je okužil zlonameren program za krajo podatkov. Neimenovani vir je datoteke posredoval ZachXBT, ki je potrdil, da gradivo še nikoli ni bilo javno objavljeno. Izvlečeni zapisi so vključevali približno 390 računov, dnevnike klepetov IPMsg, izmišljene identitete, zgodovino brskanja in zapise transakcij s kriptovalutami.

Notranja platforma v središču preiskave je bila luckyguys.site, notranje imenovana tudi WebMsg. Delovala je kot sporočilnik v slogu Discorda, ki je IT-delavcem v Severni Koreji omogočal poročanje o plačilih njihovim nadzornikom. Vsaj deset uporabnikov ni nikoli spremenilo privzetega gesla, ki je bilo nastavljeno na »123456«.

Seznam uporabnikov je vseboval vloge, korejska imena, mesta in kodirana imena skupin, ki so skladna z znanimi operacijami IT-delavcev Severne Koreje. Tri podjetja, ki se pojavljajo na seznamu, Sobaeksu, Saenal in Songkwang, so trenutno pod sankcijami Urada za nadzor nad tujimi sredstvi ameriškega finančnega ministrstva.

Plačila so bila potrjena prek centralnega administrativnega računa, identificiranega kot PC-1234. ZachXBT je delil primere neposrednih sporočil od uporabnika z vzdevkom »Rascal«, ki so podrobno opisovali prenose, povezane z lažnimi identitetami, v obdobju od decembra 2025 do aprila 2026. Nekatera sporočila so se sklicevala na naslove v Hongkongu za račune in blago, čeprav njihova verodostojnost ni bila preverjena.

Povezani naslovi plačilnih denarnic so v tem obdobju prejeli več kot 3,5 milijona dolarjev, kar ustreza približno 1 milijonu dolarjev na mesec. Delavci so za pridobitev zaposlitve uporabljali ponarejene pravne dokumente in lažne identitete. Kriptovalute so bile bodisi prenesene neposredno z borz ali pretvorjene v fiat prek kitajskih bančnih računov z uporabo platform, kot je Payoneer. Upraviteljski račun PC-1234 je nato potrdil prejem in razdelil poverilnice za različne kriptovalutne in fintech platforme.

Analiza na verigi je povezala notranje plačilne naslove z znanimi skupinami IT-delavcev iz Severne Koreje. Ugotovljena sta bila dva konkretna naslova: naslov Ethereum in naslov Tron, ki ga je Tether zamrznil decembra 2025.

ZachXBT je uporabil celoten nabor podatkov, da je izrisal popolno organizacijsko strukturo omrežja, vključno s skupnimi zneski plačil na uporabnika in na skupino. Objavil je interaktivni organizacijski diagram, ki zajema obdobje od decembra 2025 do februarja 2026 na investigation.io/dprk-itw-breach, dostopen z geslom »123456«.

Ogrožena naprava in dnevniki klepetov so prinesli dodatne podrobnosti. Delavci so za prijavo na delovna mesta uporabljali Astrill VPN in lažne identitete. Notranje razprave na Slacku so vključevale objavo uporabnika z imenom »Nami«, ki je delil blog o kandidatu za delo v Severni Koreji, ustvarjenem z deepfake tehnologijo. Upravitelj je med novembrom 2025 in februarjem 2026 delavcem poslal tudi 43 modulov usposabljanja za Hex-Rays in IDA Pro, ki so zajemali razstavljanje, dekompilacijo in odpravljanje napak. Ena od deljenih povezav je posebej obravnavala razpakiranje sovražnih izvedljivih datotek PE.
Ugotovljeno je bilo, da je 33 IT-delavcev iz Severne Koreje komuniciralo prek istega omrežja IPMsg. Ločeni vnosi v dnevniku so se nanašali na načrte za krajo iz igre Arcano, igre GalaChain, z uporabo nigerijskega proxyja, čeprav iz podatkov ni bilo jasno, kakšen je bil izid tega prizadevanja.

ZachXBT je to skupino opisal kot operativno manj sofisticirano v primerjavi z višjimi skupinami iz Severne Koreje, kot sta Applejeus ali Tradertraitor. Prej je ocenil, da IT-delavci iz Severne Koreje skupaj ustvarijo več milijonov dolarjev na mesec. Opozoril je, da skupine nižjega nivoja, kot je ta, privlačijo akterje groženj, ker je tveganje nizko in konkurenca minimalna.

Domena luckyguys.site je bila v četrtek, dan po tem, ko je ZachXBT objavil svoje ugotovitve, umaknjena iz spleta. Potrdil je, da je bil celoten niz podatkov arhiviran, preden je bila stran umaknjena.

Preiskava ponuja neposreden vpogled v to, kako celice IT-delavcev iz Severne Koreje zbirajo plačila, vzdržujejo lažne identitete in prenašajo denar prek kriptovalutnih in fiatnih sistemov, s dokumentacijo, ki prikazuje tako obseg kot operativne vrzeli, na katere se te skupine zanašajo, da ostanejo aktivne.