Blockkedjeutredaren ZachXBT publicerade den 8 april 2026 en tråd i 11 delar där han avslöjade data som läckt ut från en intern nordkoreansk betalningsserver som används av IT-anställda i Nordkorea, vilket visade att betalningar på över 3,5 miljoner dollar hade hanterats sedan slutet av november 2025.
ZachXBT publicerar läckta betalningsuppgifter från Nordkorea som visar en månatlig flöde på 1 miljon dollar från kryptovaluta till fiatvaluta
SKRIVEN AV
DELA
Huvudpunkter:
- ZachXBT:s utredning den 8 april avslöjade en betalningsserver för nordkoreanska IT-arbetare som hanterat över 3,5 miljoner dollar sedan slutet av november 2025.
- Tre enheter som omfattas av OFAC-sanktioner, Sobaeksu, Saenal och Songkwang, förekom i listan över användare som drabbats av dataintrånget från luckyguys.site.
- Den interna nordkoreanska webbplatsen togs ur drift den 9 april 2026, men ZachXBT arkiverade all data innan han publicerade den 11-delade tråden.
Nordkoreanska hackare använde standardlösenordet ”123456” på en intern kryptovalutabetalningsserver
De läckta uppgifterna kom från en nordkoreansk IT-anställds enhet som komprometterats av infostealer-malware. En anonym källa delade filerna med ZachXBT, som bekräftade att materialet aldrig hade offentliggjorts. De extraherade uppgifterna omfattade cirka 390 konton, IPMsg-chattloggar, påhittade identiteter, webbläsarhistorik och transaktionsuppgifter för kryptovalutor.
Den interna plattformen som stod i centrum för utredningen var luckyguys.site, även kallad WebMsg internt. Den fungerade som en Discord-liknande meddelandetjänst, vilket gjorde det möjligt för nordkoreanska IT-anställda att rapportera betalningar till sina uppdragsgivare. Minst tio användare hade aldrig ändrat standardlösenordet, som var satt till ”123456”.
Användarlistan innehöll roller, koreanska namn, städer och kodade gruppnamn som stämde överens med kända verksamheter hos IT-arbetare från Nordkorea. Tre företag som förekommer i listan, Sobaeksu, Saenal och Songkwang, är för närvarande föremål för sanktioner från det amerikanska finansdepartementets Office of Foreign Assets Control.
Betalningarna bekräftades via ett centralt administratörskonto identifierat som PC-1234. ZachXBT delade exempel på direktmeddelanden från en användare med smeknamnet ”Rascal”, som detaljerade överföringar kopplade till falska identiteter från december 2025 till april 2026. Vissa meddelanden hänvisade till adresser i Hongkong för fakturor och varor, även om deras äkthet inte verifierades.
De associerade betalningsplånboksadresserna mottog mer än 3,5 miljoner dollar under den perioden, vilket motsvarar ungefär 1 miljon dollar per månad. Arbetarna använde förfalskade juridiska dokument och falska identiteter för att få anställning. Kryptovaluta överfördes antingen direkt från börser eller konverterades till fiat via kinesiska bankkonton med hjälp av plattformar som Payoneer. Administratörskontot PC-1234 bekräftade sedan mottagandet och distribuerade inloggningsuppgifter för olika krypto- och fintech-plattformar.
Onchain-analys kopplade de interna betalningsadresserna till kända kluster av nordkoreanska IT-arbetare. Två specifika adresser identifierades: en Ethereum-adress och en Tron-adress som Tether frös i december 2025.
ZachXBT använde hela datasetet för att kartlägga nätverkets fullständiga organisationsstruktur, inklusive betalningssummor per användare och per grupp. Han publicerade ett interaktivt organisationsschema som täcker perioden december 2025 till februari 2026 på investigation.io/dprk-itw-breach, tillgängligt med lösenordet "123456".
Den komprometterade enheten och chattloggarna gav ytterligare detaljer. Anställda använde Astrill VPN och falska identiteter för att söka jobb. Interna Slack-diskussioner inkluderade ett inlägg från en användare vid namn ”Nami” som delade en blogg om en deepfake-sökande som var anställd i Nordkorea. Administratören skickade också 43 utbildningsmoduler för Hex-Rays och IDA Pro till anställda mellan november 2025 och februari 2026, som täckte demontering, dekompilering och felsökning. En delad länk behandlade specifikt uppackning av fientliga PE-körbara filer.
Trettio tre IT-arbetare från Nordkorea upptäcktes kommunicera via samma IPMsg-nätverk. Separata loggposter hänvisade till planer på att stjäla från Arcano, ett GalaChain-spel, med hjälp av en nigeriansk proxy, även om resultatet av den insatsen inte framgick tydligt av data.
ZachXBT beskrev denna grupp som mindre operativt sofistikerad än högre rankade nordkoreanska grupper som Applejeus eller Tradertraitor. Han hade tidigare uppskattat att nordkoreanska IT-arbetare tillsammans genererar flera miljoner dollar per månad. Han noterade att lågrankade grupper som denna lockar hotaktörer eftersom risken är låg och konkurrensen minimal.
Jätte inom kryptovaluta-bankomater avslöjar stöld av bitcoin till ett värde av 3,7 miljoner dollar efter cyberattack
Bitcoin Depot drabbades av en cyberattack på 3,665 miljoner dollar. Företaget uppger att intrånget inte har äventyrat kunduppgifter eller bankomatdriften. read more.
Läs nu
Jätte inom kryptovaluta-bankomater avslöjar stöld av bitcoin till ett värde av 3,7 miljoner dollar efter cyberattack
Bitcoin Depot drabbades av en cyberattack på 3,665 miljoner dollar. Företaget uppger att intrånget inte har äventyrat kunduppgifter eller bankomatdriften. read more.
Läs nuJätte inom kryptovaluta-bankomater avslöjar stöld av bitcoin till ett värde av 3,7 miljoner dollar efter cyberattack
Läs nuBitcoin Depot drabbades av en cyberattack på 3,665 miljoner dollar. Företaget uppger att intrånget inte har äventyrat kunduppgifter eller bankomatdriften. read more.
Domänen luckyguys.site togs ur drift på torsdagen, dagen efter att ZachXBT publicerade sina fynd. Han bekräftade att hela datasetet arkiverades innan webbplatsen togs ner.
Utredningen ger en direkt inblick i hur nordkoreanska IT-arbetargrupper samlar in betalningar, upprätthåller falska identiteter och flyttar pengar genom krypto- och fiat-system, med dokumentation som visar både omfattningen och de operativa luckor som dessa grupper förlitar sig på för att förbli aktiva.
