Inilathala ni ZachXBT ang Na-leak na Datos ng Pagbabayad ng DPRK na Nagpapakita ng $1M Buwanang Crypto-to-Fiat na Daluyan

Mahahalagang Takeaways:

• Inilantad ng imbestigasyon ni ZachXBT noong Abril 8 ang isang payment server ng DPRK IT worker na nagproseso ng mahigit $3.5 milyon mula pa noong huling bahagi ng Nobyembre 2025.
• Tatlong entity na may OFAC sanctions—Sobaeksu, Saenal, at Songkwang—ang lumitaw sa nabreach na listahan ng mga user mula sa luckyguys.site.
• Nag-offline ang panloob na DPRK site noong Abril 9, 2026, ngunit na-archive ni ZachXBT ang lahat ng datos bago ilathala ang 11-bahaging thread.

Gumamit ang mga North Korean Hacker ng Default Password na ‘123456’ sa Panloob na Crypto Payment Server

Ang na-leak na datos ay nagmula sa device ng isang DPRK IT worker na nakompromiso ng infostealer malware. Isang hindi pinangalanang source ang nagbahagi ng mga file kay ZachXBT, na nagkumpirma na ang materyal ay hindi pa kailanman nailabas sa publiko. Kasama sa nakuha na mga record ang humigit-kumulang 390 account, IPMsg chat logs, mga gawa-gawang identidad, browser history, at mga record ng transaksyon sa cryptocurrency.

Ang panloob na platform na sentro ng imbestigasyon ay luckyguys.site, na tinutukoy din sa loob bilang WebMsg. Nagsilbi ito bilang Discord-style na messenger, na nagpapahintulot sa mga DPRK IT worker na mag-report ng mga bayad sa kanilang mga handler. Hindi bababa sa sampung user ang hindi kailanman nagpalit ng default password, na naka-set sa “123456.”

Ang listahan ng mga user ay naglalaman ng mga role, Korean na pangalan, mga lungsod, at mga coded na pangalan ng grupo na tugma sa mga kilalang operasyon ng DPRK IT worker. Tatlong kompanya na lumitaw sa listahan—Sobaeksu, Saenal, at Songkwang—ay kasalukuyang may sanctions mula sa Office of Foreign Assets Control ng U.S. Treasury.

Nakumpirma ang mga bayad sa pamamagitan ng isang central admin account na nakilalang PC-1234. Nagbahagi si ZachXBT ng mga halimbawa ng direct message mula sa isang user na may palayaw na “Rascal,” na nagdetalye ng mga transfer na konektado sa mga mapanlinlang na identidad mula Disyembre 2025 hanggang Abril 2026. May ilang mensahe na tumukoy sa mga address sa Hong Kong para sa mga bill at mga goods, bagama’t hindi nabe-verify ang pagiging tunay ng mga ito.

Ang mga kaugnay na payment wallet address ay nakatanggap ng mahigit $3.5 milyon sa panahong iyon, na katumbas ng humigit-kumulang $1 milyon bawat buwan. Gumamit ang mga worker ng pinekeng legal na dokumento at huwad na identidad upang makakuha ng trabaho. Ang Crypto ay alinman direktang inililipat mula sa mga exchange o kino-convert sa fiat sa pamamagitan ng mga Chinese bank account gamit ang mga platform tulad ng Payoneer. Pagkatapos, kinumpirma ng admin account na PC-1234 ang pagtanggap at namahagi ng mga credential para sa iba’t ibang crypto at fintech platform.

Ikinonekta ng onchain analysis ang mga panloob na payment address sa mga kilalang cluster ng DPRK IT worker. Dalawang partikular na address ang natukoy: isang Ethereum address at isang Tron address na ni-freeze ng Tether noong Disyembre 2025.

Ginamit ni ZachXBT ang buong dataset upang i-map ang kumpletong organizational structure ng network, kabilang ang kabuuang bayad kada user at kada grupo. Naglathala siya ng isang interactive na org chart na sumasaklaw mula Disyembre 2025 hanggang Pebrero 2026 sa investigation.io/dprk-itw-breach, na naa-access gamit ang password na “123456.”

Nagbigay ang nakompromisong device at mga chat log ng mga karagdagang detalye. Gumamit ang mga worker ng Astrill VPN at mga pekeng persona upang mag-apply sa mga trabaho. Kasama sa mga panloob na Slack discussion ang isang post mula sa user na pinangalanang “Nami” na nagbahagi ng blog tungkol sa isang deepfake applicant na DPRK worker. Nagpadala rin ang admin ng 43 Hex-Rays at IDA Pro training module sa mga worker mula Nobyembre 2025 hanggang Pebrero 2026, na sumasaklaw sa disassembly, decompilation, at debugging. Isang na-share na link ang partikular na tumalakay sa pag-unpack ng hostile PE executables.

Tatlumpo’t tatlong DPRK IT worker ang natuklasang nakikipagkomunikasyon sa pamamagitan ng iisang IPMsg network. May magkakahiwalay na log entry na tumukoy sa mga planong magnakaw mula sa Arcano, isang GalaChain game, gamit ang isang Nigerian proxy, bagama’t hindi malinaw sa datos ang naging resulta ng pagsisikap na iyon.

Inilarawan ni ZachXBT ang cluster na ito bilang hindi gaanong sopistikado sa aspeto ng operasyon kumpara sa mas mataas na antas na mga grupong DPRK gaya ng Applejeus o Tradertraitor. Dati niyang tinantiya na ang mga DPRK IT worker sa kabuuan ay nakakalikom ng maraming seven figures kada buwan. Binanggit niya na ang mga low-tier na grupo tulad nito ay umaakit ng mga threat actor dahil mababa ang panganib at minimal ang kompetisyon.

Nag-offline ang luckyguys.site domain noong Huwebes, isang araw matapos ilathala ni ZachXBT ang kanyang mga natuklasan. Kinumpirma niya na na-archive ang buong dataset bago pa man ibinaba ang site.

Nag-aalok ang imbestigasyon ng direktang pagtingin sa kung paano nangongolekta ng bayad ang mga DPRK IT worker cell, nagpapanatili ng mga pekeng identidad, at naglilipat ng pera sa pamamagitan ng crypto at fiat system—na may dokumentasyon na nagpapakita kapwa ng lawak at ng mga operational gap na sinasandalan ng mga grupong ito upang manatiling aktibo.