ZachXBT เผยแพร่ข้อมูลการชำระเงินที่รั่วไหลของเกาหลีเหนือ (DPRK) ซึ่งแสดงให้เห็นเส้นทางการแปลงคริปโตเป็นเงินเฟียตรายเดือนมูลค่า 1 ล้านดอลลาร์

ประเด็นสำคัญ:

• การสืบสวนของ ZachXBT เมื่อวันที่ 8 เมษายน เปิดโปงเซิร์ฟเวอร์ชำระเงินของแรงงานไอที DPRK ที่ประมวลผลมากกว่า 3.5 ล้านดอลลาร์นับตั้งแต่ปลายเดือนพฤศจิกายน 2025
• หน่วยงานที่ถูก OFAC คว่ำบาตร 3 แห่ง ได้แก่ Sobaeksu, Saenal และ Songkwang ปรากฏอยู่ในรายชื่อผู้ใช้ที่ถูกเจาะจาก luckyguys.site
• เว็บไซต์ภายในของ DPRK ออฟไลน์ในวันที่ 9 เมษายน 2026 แต่ ZachXBT ได้เก็บถาวรข้อมูลทั้งหมดไว้ก่อนเผยแพร่เธรด 11 ตอน

แฮกเกอร์เกาหลีเหนือใช้รหัสผ่านเริ่มต้น ‘123456’ บนเซิร์ฟเวอร์ชำระเงินคริปโตภายใน

ข้อมูลที่รั่วไหลมาจากอุปกรณ์ของแรงงานไอที DPRK ที่ถูกเจาะด้วยมัลแวร์ขโมยข้อมูล (infostealer) แหล่งข่าวที่ไม่เปิดเผยชื่อได้แชร์ไฟล์ให้กับ ZachXBT ซึ่งได้ ยืนยัน ว่าเนื้อหาดังกล่าวไม่เคยถูกเผยแพร่ต่อสาธารณะมาก่อน บันทึกที่ถูกดึงออกมาประกอบด้วยบัญชีประมาณ 390 บัญชี บันทึกแชต IPMsg ตัวตนที่ถูกปลอมแปลง ประวัติการท่องเว็บ และบันทึกธุรกรรมสกุลเงินดิจิทัล

แพลตฟอร์มภายในที่เป็นศูนย์กลางของการสืบสวนคือ luckyguys.site ซึ่งภายในเรียกอีกชื่อว่า WebMsg โดยทำหน้าที่เป็นแมสเซนเจอร์สไตล์ Discord เปิดให้แรงงานไอทีของ DPRK รายงานการชำระเงินให้ผู้ควบคุมของตน มีผู้ใช้อย่างน้อยสิบรายที่ไม่เคยเปลี่ยนรหัสผ่านเริ่มต้น ซึ่งตั้งไว้เป็น “123456”

รายชื่อผู้ใช้มีบทบาท ชื่อภาษาเกาหลี เมือง และชื่อกลุ่มแบบเข้ารหัสที่สอดคล้องกับปฏิบัติการแรงงานไอที DPRK ที่เป็นที่รู้จัก มีบริษัทสามแห่งที่ปรากฏในรายชื่อ ได้แก่ Sobaeksu, Saenal และ Songkwang ซึ่งขณะนี้ถูกคว่ำบาตรโดยสำนักงานควบคุมทรัพย์สินต่างประเทศ (OFAC) ของกระทรวงการคลังสหรัฐฯ

การชำระเงินได้รับการยืนยันผ่านบัญชีผู้ดูแลส่วนกลางที่ระบุว่า PC-1234 ZachXBT ได้แชร์ตัวอย่างข้อความส่วนตัวจากผู้ใช้ที่มีชื่อเล่นว่า “Rascal” ซึ่งระบุรายละเอียดการโอนที่เชื่อมโยงกับตัวตนปลอม ครอบคลุมตั้งแต่เดือนธันวาคม 2025 ถึงเมษายน 2026 บางข้อความอ้างถึงที่อยู่ใน ฮ่องกง สำหรับใบเรียกเก็บเงินและสินค้า แม้ความถูกต้องจะไม่ได้รับการตรวจสอบ

ที่อยู่กระเป๋าเงินสำหรับการชำระเงินที่เกี่ยวข้องได้รับเงินมากกว่า 3.5 ล้านดอลลาร์ในช่วงเวลาดังกล่าว คิดเป็นประมาณ 1 ล้านดอลลาร์ต่อเดือน แรงงานใช้เอกสารทางกฎหมายปลอมและตัวตนปลอมเพื่อให้ได้งาน คริปโต ถูกโอนมาจากเอ็กซ์เชนจ์โดยตรง หรือแปลงเป็นเงินเฟียตผ่านบัญชีธนาคารจีนโดยใช้แพลตฟอร์มอย่าง Payoneer จากนั้นบัญชีผู้ดูแล PC-1234 จะยืนยันการได้รับเงินและแจกจ่ายข้อมูลรับรองสำหรับแพลตฟอร์มคริปโตและฟินเทคต่าง ๆ

การวิเคราะห์ออนเชนเชื่อมโยงที่อยู่ชำระเงินภายในกับคลัสเตอร์ที่ทราบกันว่าเป็นของแรงงานไอที DPRK มีการระบุที่อยู่เฉพาะสองรายการ: ที่อยู่ Ethereum และที่อยู่ Tron ที่ Tether อายัดไว้ในเดือนธันวาคม 2025

ZachXBT ใช้ชุดข้อมูลทั้งหมดเพื่อทำแผนผังโครงสร้างองค์กรของเครือข่ายให้ครบถ้วน รวมถึงยอดการชำระเงินต่อผู้ใช้และต่อกลุ่ม เขาเผยแพร่แผนผังองค์กรแบบโต้ตอบซึ่งครอบคลุมตั้งแต่ธันวาคม 2025 ถึงกุมภาพันธ์ 2026 ที่ investigation.io/dprk-itw-breach โดยเข้าถึงได้ด้วยรหัสผ่าน “123456”

อุปกรณ์ที่ถูกเจาะและบันทึกแชตให้รายละเอียดเพิ่มเติม แรงงานใช้ Astrill VPN และบุคลิกปลอมเพื่อสมัครงาน การสนทนาภายใน Slack มีโพสต์จากผู้ใช้ชื่อ “Nami” ที่แชร์บล็อกเกี่ยวกับผู้สมัครงานดีปเฟกของแรงงาน DPRK ผู้ดูแลยังส่งโมดูลฝึกอบรม Hex-Rays และ IDA Pro จำนวน 43 รายการให้แรงงานระหว่างพฤศจิกายน 2025 ถึงกุมภาพันธ์ 2026 ครอบคลุมการถอดแอสเซมบลี การดีคอมไพล์ และการดีบัก ลิงก์หนึ่งที่แชร์ระบุโดยเฉพาะเกี่ยวกับการแกะ (unpack) ไฟล์ปฏิบัติการ PE ที่เป็นอันตราย

พบว่าแรงงานไอที DPRK จำนวน 33 รายสื่อสารกันผ่านเครือข่าย IPMsg เดียวกัน บันทึกล็อกแยกต่างหากอ้างถึงแผนการขโมยจาก Arcano เกมบน GalaChain โดยใช้พร็อกซีจากไนจีเรีย แม้ผลลัพธ์ของความพยายามดังกล่าวจะไม่ชัดเจนจากข้อมูล

ZachXBT ระบุว่าคลัสเตอร์นี้มีความซับซ้อนด้านการปฏิบัติการน้อยกว่ากลุ่ม DPRK ระดับสูงอย่าง Applejeus หรือ Tradertraitor ก่อนหน้านี้เขาประเมินว่าแรงงานไอที DPRK โดยรวมสร้างรายได้ระดับหลายหลักเจ็ดตัวต่อเดือน เขาระบุว่ากลุ่มระดับล่างเช่นนี้ดึงดูดผู้ก่อภัยคุกคามเพราะความเสี่ยงต่ำและการแข่งขันน้อย

โดเมน luckyguys.site ออฟไลน์ในวันพฤหัสบดี ซึ่งเป็นวันถัดจากวันที่ ZachXBT เผยแพร่ผลการค้นพบ เขายืนยันว่าชุดข้อมูลทั้งหมดถูกเก็บถาวรไว้ก่อนที่เว็บไซต์จะถูกนำลง

การสืบสวนนี้ให้ภาพมุมมองโดยตรงถึงวิธีที่เซลล์แรงงานไอที DPRK รวบรวมการชำระเงิน รักษาตัวตนปลอม และเคลื่อนย้ายเงินผ่านระบบคริปโตและเงินเฟียต พร้อมเอกสารที่แสดงทั้งขนาดของปฏิบัติการและช่องโหว่ในการดำเนินงานที่กลุ่มเหล่านี้พึ่งพาเพื่อคงความเคลื่อนไหวต่อไป