ZachXBT опублікував викрадені дані про платежі КНДР, які свідчать про щомісячний потік коштів у розмірі 1 млн доларів з криптовалюти у фіатні гроші

Основні висновки:

• Розслідування ZachXBT від 8 квітня викрило платіжний сервер ІТ-працівників КНДР, який з кінця листопада 2025 року обробив платежі на суму понад 3,5 мільйона доларів.
• Три організації, що перебувають під санкціями OFAC, — Sobaeksu, Saenal і Songkwang — з'явилися у списку користувачів, що зазнали витоку даних, опублікованому на сайті luckyguys.site.
• Внутрішній сайт КНДР був відключений 9 квітня 2026 року, але ZachXBT заархівував усі дані перед публікацією 11-частинної нитки.

Північнокорейські хакери використовували стандартний пароль «123456» на внутрішньому сервері криптовалютних платежів

Витік даних стався з пристрою ІТ-працівника КНДР, який був заражений шкідливим програмним забезпеченням для викрадення інформації. Анонімне джерело надало файли ZachXBT, який підтвердив, що ці матеріали ніколи не оприлюднювалися. Витягнуті записи містили приблизно 390 облікових записів, журнали чату IPMsg, вигадані особисті дані, історію браузера та записи транзакцій з криптовалютою.

Внутрішньою платформою, що стала предметом розслідування, був сайт luckyguys.site, який також називали WebMsg. Він функціонував як месенджер у стилі Discord, дозволяючи ІТ-працівникам КНДР звітувати про платежі своїм кураторам. Принаймні десять користувачів ніколи не змінювали стандартний пароль, який був встановлений як «123456».

Список користувачів містив ролі, корейські імена, міста та закодовані назви груп, що відповідають відомим операціям ІТ-працівників КНДР. Три компанії, що з’являються у списку — Sobaeksu, Saenal та Songkwang — наразі перебувають під санкціями Управління контролю за іноземними активами Міністерства фінансів США.

Платежі були підтверджені через центральний адміністративний обліковий запис, ідентифікований як PC-1234. ZachXBT поділився прикладами прямих повідомлень від користувача з ніком «Rascal», в яких детально описувалися перекази, пов'язані з фальшивими особами, за період з грудня 2025 року по квітень 2026 року. У деяких повідомленнях згадувалися адреси в Гонконзі для рахунків та товарів, хоча їхня автентичність не була перевірена.

Пов'язані з цим платіжні адреси гаманців отримали понад 3,5 мільйона доларів протягом цього періоду, що еквівалентно приблизно 1 мільйону доларів на місяць. Працівники використовували підроблені юридичні документи та фальшиві особисті дані для працевлаштування. Криптовалюту або переказували безпосередньо з бірж, або конвертували у фіатні кошти через китайські банківські рахунки за допомогою таких платформ, як Payoneer. Потім адміністративний обліковий запис PC-1234 підтверджував отримання та розподіляв облікові дані для різних крипто- та фінтех-платформ.

Аналіз ончейну пов'язав внутрішні платіжні адреси з відомими кластерами ІТ-працівників КНДР. Було ідентифіковано дві конкретні адреси: адресу Ethereum та адресу Tron, яку Tether заморозив у грудні 2025 року.

ZachXBT використав повний набір даних, щоб скласти карту повної організаційної структури мережі, включаючи суми платежів на одного користувача та на одну групу. Він опублікував інтерактивну організаційну схему, що охоплює період з грудня 2025 року по лютий 2026 року, на investigation.io/dprk-itw-breach, доступ до якої можна отримати за паролем «123456».

Зламана система та журнали чатів надали додаткові деталі. Працівники використовували Astrill VPN та фейкові профілі для подання заяв на роботу. Внутрішні обговорення у Slack містили допис від користувача на ім’я «Nami», який поділився блогом про кандидата-діпфейка з КНДР. Адміністратор також надіслав працівникам 43 навчальні модулі Hex-Rays та IDA Pro у період з листопада 2025 року по лютий 2026 року, що охоплювали розбирання, декомпіляцію та налагодження. Одне з наданих посилань стосувалося саме розпакування шкідливих виконуваних файлів PE.

Було виявлено, що 33 ІТ-працівники з КНДР спілкувалися через одну й ту саму мережу IPMsg. Окремі записи в журналах згадували плани викрадення коштів з Arcano, гри на GalaChain, з використанням нігерійського проксі-сервера, хоча результат цих зусиль з даних не був зрозумілим.

ZachXBT охарактеризував цей кластер як менш оперативно витончений, ніж групи вищого рівня з КНДР, такі як Applejeus або Tradertraitor. Раніше він оцінював, що ІТ-фахівці з КНДР сукупно заробляють кілька мільйонів доларів на місяць. Він зазначив, що групи нижчого рівня, такі як ця, приваблюють зловмисників, оскільки ризик є низьким, а конкуренція — мінімальною.

Домен luckyguys.site був відключений у четвер, на наступний день після того, як ZachXBT опублікував свої висновки. Він підтвердив, що повний набір даних був заархівований до того, як сайт було знято.

Це розслідування дає пряме уявлення про те, як осередки ІТ-фахівців з КНДР отримують платежі, підтримують фальшиві особисті дані та переміщують гроші через криптовалютні та фіатні системи, а також містить документацію, яка демонструє як масштаби діяльності, так і операційні прогалини, на які ці групи покладаються, щоб залишатися активними.