Blockchain araştırmacısı ZachXBT, 8 Nisan 2026 tarihinde 11 bölümlük bir paylaşım dizisi yayınlayarak, Kuzey Kore'nin (DPRK) BT çalışanları tarafından kullanılan bir iç ödeme sunucusundan sızdırılan verileri ortaya çıkardı ve Kasım 2025 sonundan bu yana işlenen 3,5 milyon doların üzerinde ödemeyi ifşa etti.
ZachXBT, Kuzey Kore'den sızan ve aylık 1 milyon dolarlık kripto-fiat para akışını gösteren ödeme verilerini yayınladı
YAZAN
PAYLAŞ
Önemli Noktalar:
- ZachXBT'nin 8 Nisan'daki araştırması, Kasım 2025'in sonundan bu yana 3,5 milyon doların üzerinde ödeme işleyen bir Kuzey Kore BT çalışanı ödeme sunucusunu ortaya çıkardı.
- OFAC tarafından yaptırım uygulanan üç kuruluş, Sobaeksu, Saenal ve Songkwang, luckyguys.site'den sızdırılan kullanıcı listesinde yer aldı.
- Kuzey Kore'nin iç sitesi 9 Nisan 2026'da çevrimdışı hale geldi, ancak ZachXBT 11 bölümlük dizisini yayınlamadan önce tüm verileri arşivledi.
Kuzey Koreli Hackerlar, Dahili Kripto Ödeme Sunucusunda Varsayılan Şifre '123456'yi Kullandı
Sızan veriler, bilgi hırsızı kötü amaçlı yazılım tarafından ele geçirilen bir Kuzey Kore BT çalışanının cihazından geldi. İsimsiz bir kaynak, dosyaları ZachXBT ile paylaştı ve ZachXBT, bu materyallerin daha önce hiç kamuya açıklanmadığını doğruladı. Çıkarılan kayıtlar arasında yaklaşık 390 hesap, IPMsg sohbet günlükleri, uydurma kimlikler, tarayıcı geçmişi ve kripto para işlem kayıtları yer alıyordu.
Soruşturmanın merkezinde yer alan iç platform, luckyguys.site idi ve kurum içinde WebMsg olarak da anılıyordu. Bu platform, Discord tarzı bir mesajlaşma uygulaması olarak işlev görüyordu ve Kuzey Kore'deki BT çalışanlarının ödeme bilgilerini yöneticilerine bildirmelerine olanak tanıyordu. En az on kullanıcı, "123456" olarak ayarlanmış olan varsayılan şifreyi hiç değiştirmemişti.
Kullanıcı listesi, bilinen Kuzey Kore BT çalışanlarının faaliyetleriyle tutarlı roller, Korece isimler, şehirler ve kodlanmış grup isimleri içeriyordu. Listede yer alan Sobaeksu, Saenal ve Songkwang adlı üç şirket, şu anda ABD Hazine Bakanlığı'nın Yabancı Varlıklar Kontrol Ofisi tarafından yaptırım altındadır.
Ödemeler, PC-1234 olarak tanımlanan merkezi bir yönetici hesabı aracılığıyla doğrulandı. ZachXBT, "Rascal" takma adlı bir kullanıcıdan alınan doğrudan mesaj örneklerini paylaştı; bu mesajlar, Aralık 2025'ten Nisan 2026'ya kadar uzanan sahte kimliklerle bağlantılı transferleri ayrıntılı olarak içeriyordu. Bazı mesajlarda faturalar ve mallar için Hong Kong adreslerine atıfta bulunuluyordu, ancak bunların gerçekliği doğrulanmadı.
İlgili ödeme cüzdan adresleri, bu dönemde 3,5 milyon dolardan fazla para aldı; bu da aylık yaklaşık 1 milyon dolara denk geliyor. Çalışanlar, iş bulmak için sahte yasal belgeler ve sahte kimlikler kullandı. Kripto paralar ya borsalardan doğrudan aktarıldı ya da Payoneer gibi platformlar kullanılarak Çin banka hesapları aracılığıyla fiat paraya dönüştürüldü. Ardından PC-1234 yönetici hesabı, alımı onayladı ve çeşitli kripto ve fintech platformları için kimlik bilgilerini dağıttı.
Onchain analizi, iç ödeme adreslerini bilinen Kuzey Kore IT çalışanları kümeleriyle ilişkilendirdi. İki belirli adres tespit edildi: bir Ethereum adresi ve Tether'in Aralık 2025'te dondurduğu bir Tron adresi.
ZachXBT, kullanıcı başına ve grup başına ödeme toplamları da dahil olmak üzere ağın tam organizasyon yapısını haritalamak için tüm veri setini kullandı. investigation.io/dprk-itw-breach adresinde, "123456" şifresiyle erişilebilen, Aralık 2025'ten Şubat 2026'ya kadar olan dönemi kapsayan etkileşimli bir organizasyon şeması yayınladı.
Güvenliği ihlal edilen cihaz ve sohbet günlükleri ek ayrıntılar sağladı. Çalışanlar, iş başvurusu yapmak için Astrill VPN ve sahte kimlikler kullandı. İç Slack tartışmaları arasında, "Nami" adlı bir kullanıcının, Kuzey Kore'li bir çalışanın deepfake başvuru sahibiyle ilgili bir blogu paylaştığı bir gönderi de vardı. Yönetici ayrıca, Kasım 2025 ile Şubat 2026 arasında çalışanlara, sökme, derleme ve hata ayıklamayı kapsayan 43 Hex-Rays ve IDA Pro eğitim modülü gönderdi. Paylaşılan bağlantılardan biri, özellikle zararlı PE yürütülebilir dosyalarının açılmasına odaklanıyordu.
Aynı IPMsg ağı üzerinden iletişim kuran 33 Kuzey Kore IT çalışanı tespit edildi. Ayrı günlük kayıtları, Nijeryalı bir proxy kullanarak GalaChain oyunu Arcano'dan hırsızlık yapma planlarına atıfta bulunuyordu, ancak bu çabanın sonucu verilerden net olarak anlaşılamadı.
ZachXBT, bu grubu Applejeus veya Tradertraitor gibi üst düzey Kuzey Kore gruplarına kıyasla operasyonel açıdan daha az sofistike olarak nitelendirdi. Daha önce, Kuzey Kore BT çalışanlarının toplu olarak ayda yedi haneli rakamlar kazandığını tahmin etmişti. Riskin düşük ve rekabetin minimum düzeyde olması nedeniyle, bunun gibi alt düzey grupların tehdit aktörlerini cezbettiğini belirtti.
Kripto ATM Devi, Siber Saldırı Sonrası 3,7 Milyon Dolarlık Bitcoin Hırsızlığını Açıkladı
Bitcoin Depot, 3,665 milyon dolarlık bir siber saldırıya uğradı. Şirket, bu güvenlik ihlalinin müşteri bilgilerini veya ATM işlemlerini etkilemediğini açıkladı. read more.
Şimdi oku
Kripto ATM Devi, Siber Saldırı Sonrası 3,7 Milyon Dolarlık Bitcoin Hırsızlığını Açıkladı
Bitcoin Depot, 3,665 milyon dolarlık bir siber saldırıya uğradı. Şirket, bu güvenlik ihlalinin müşteri bilgilerini veya ATM işlemlerini etkilemediğini açıkladı. read more.
Şimdi okuKripto ATM Devi, Siber Saldırı Sonrası 3,7 Milyon Dolarlık Bitcoin Hırsızlığını Açıkladı
Şimdi okuBitcoin Depot, 3,665 milyon dolarlık bir siber saldırıya uğradı. Şirket, bu güvenlik ihlalinin müşteri bilgilerini veya ATM işlemlerini etkilemediğini açıkladı. read more.
luckyguys.site etki alanı, ZachXBT'nin bulgularını yayınladığı günün ertesi günü, Perşembe günü çevrimdışı hale geldi. Site kapatılmadan önce tüm veri setinin arşivlendiğini doğruladı.
Soruşturma, Kuzey Kore'deki BT çalışanları hücrelerinin nasıl ödeme topladığını, sahte kimliklerini nasıl koruduğunu ve kripto ve fiat sistemleri aracılığıyla nasıl para aktardığını doğrudan gözler önüne seriyor. Ayrıca, bu grupların aktif kalmak için dayandıkları ölçeği ve operasyonel boşlukları gösteren belgeler de sunuyor.
