ZachXBT công bố dữ liệu thanh toán bị rò rỉ của Triều Tiên, cho thấy dòng tiền chuyển đổi từ tiền điện tử sang tiền pháp định trị giá 1 triệu USD mỗi tháng

Điểm chính:

• Cuộc điều tra ngày 8 tháng 4 của ZachXBT đã phơi bày một máy chủ thanh toán dành cho nhân viên CNTT của CHDCND Triều Tiên đã xử lý hơn 3,5 triệu đô la kể từ cuối tháng 11 năm 2025.
• Ba thực thể bị OFAC trừng phạt, Sobaeksu, Saenal và Songkwang, xuất hiện trong danh sách người dùng bị rò rỉ từ luckyguys.site.
• Trang web nội bộ của Triều Tiên đã ngừng hoạt động vào ngày 9 tháng 4 năm 2026, nhưng ZachXBT đã lưu trữ toàn bộ dữ liệu trước khi đăng tải chuỗi bài viết gồm 11 phần.

Các hacker Triều Tiên đã sử dụng mật khẩu mặc định '123456' trên máy chủ thanh toán tiền điện tử nội bộ

Dữ liệu rò rỉ xuất phát từ thiết bị của một nhân viên CNTT Triều Tiên bị nhiễm phần mềm gián điệp. Một nguồn tin giấu tên đã chia sẻ các tệp tin với ZachXBT, người xác nhận rằng tài liệu này chưa từng được công bố công khai. Các bản ghi được trích xuất bao gồm khoảng 390 tài khoản, nhật ký trò chuyện IPMsg, danh tính giả mạo, lịch sử trình duyệt và bản ghi giao dịch tiền điện tử.

Nền tảng nội bộ nằm tại trung tâm cuộc điều tra là luckyguys.site, còn được gọi nội bộ là WebMsg. Nền tảng này hoạt động như một ứng dụng nhắn tin kiểu Discord, cho phép nhân viên CNTT Triều Tiên báo cáo các khoản thanh toán cho người quản lý của họ. Ít nhất mười người dùng chưa bao giờ thay đổi mật khẩu mặc định, vốn được đặt là "123456".

Danh sách người dùng chứa các vai trò, tên tiếng Hàn, thành phố và tên nhóm được mã hóa phù hợp với các hoạt động đã biết của nhân viên CNTT Triều Tiên. Ba công ty xuất hiện trong danh sách, Sobaeksu, Saenal và Songkwang, hiện đang bị Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) thuộc Bộ Tài chính Hoa Kỳ trừng phạt.

Các khoản thanh toán được xác nhận thông qua tài khoản quản trị trung tâm được xác định là PC-1234. ZachXBT đã chia sẻ các ví dụ về tin nhắn trực tiếp từ một người dùng có biệt danh "Rascal", trong đó chi tiết các giao dịch liên quan đến danh tính gian lận từ tháng 12 năm 2025 đến tháng 4 năm 2026. Một số tin nhắn đề cập đến địa chỉ tại Hồng Kông cho hóa đơn và hàng hóa, tuy nhiên tính xác thực của chúng chưa được xác minh.

Các địa chỉ ví thanh toán liên quan đã nhận được hơn $3,5 triệu trong giai đoạn đó, tương đương khoảng $1 triệu mỗi tháng. Các nhân viên đã sử dụng tài liệu pháp lý giả mạo và danh tính giả để tìm việc làm. Tiền điện tử được chuyển trực tiếp từ các sàn giao dịch hoặc chuyển đổi thành tiền pháp định thông qua tài khoản ngân hàng Trung Quốc bằng các nền tảng như Payoneer. Tài khoản quản trị PC-1234 sau đó xác nhận việc nhận tiền và phân phối thông tin đăng nhập cho các nền tảng tiền điện tử và fintech khác nhau.

Phân tích on-chain đã liên kết các địa chỉ thanh toán nội bộ với các nhóm nhân viên CNTT Triều Tiên đã biết. Hai địa chỉ cụ thể đã được xác định: một địa chỉ Ethereum và một địa chỉ Tron mà Tether đã đóng băng vào tháng 12 năm 2025.

ZachXBT đã sử dụng bộ dữ liệu đầy đủ để vẽ sơ đồ cấu trúc tổ chức hoàn chỉnh của mạng lưới, bao gồm tổng số tiền thanh toán theo từng người dùng và từng nhóm. Anh đã công bố một sơ đồ tổ chức tương tác bao phủ giai đoạn từ tháng 12 năm 2025 đến tháng 2 năm 2026 tại investigation.io/dprk-itw-breach, có thể truy cập bằng mật khẩu "123456."

Thiết bị bị xâm nhập và nhật ký trò chuyện đã cung cấp thêm chi tiết. Các nhân viên đã sử dụng VPN Astrill và danh tính giả để ứng tuyển việc làm. Các cuộc thảo luận nội bộ trên Slack bao gồm một bài đăng từ người dùng tên "Nami" chia sẻ một bài blog về ứng viên deepfake là nhân viên DPRK. Quản trị viên cũng đã gửi 43 mô-đun đào tạo Hex-Rays và IDA Pro cho nhân viên từ tháng 11 năm 2025 đến tháng 2 năm 2026, bao gồm các nội dung về tháo gỡ, giải mã và gỡ lỗi. Một liên kết được chia sẻ cụ thể đề cập đến việc giải nén các tệp thực thi PE độc hại.

33 nhân viên CNTT Triều Tiên được phát hiện giao tiếp qua cùng một mạng IPMsg. Các mục nhật ký riêng biệt đề cập đến kế hoạch đánh cắp từ Arcano, một trò chơi trên GalaChain, bằng cách sử dụng proxy Nigeria, mặc dù kết quả của nỗ lực này không rõ ràng từ dữ liệu.

ZachXBT mô tả nhóm này là ít tinh vi về mặt vận hành hơn so với các nhóm cấp cao hơn của Triều Tiên như Applejeus hoặc Tradertraitor. Trước đó, ông ước tính rằng các nhân viên CNTT Triều Tiên kiếm được tổng cộng hàng triệu đô la mỗi tháng. Ông lưu ý rằng các nhóm cấp thấp như nhóm này thu hút các tác nhân đe dọa vì rủi ro thấp và cạnh tranh ít.

Tên miền luckyguys.site đã ngừng hoạt động vào thứ Năm, một ngày sau khi ZachXBT công bố phát hiện của mình. Ông xác nhận rằng toàn bộ tập dữ liệu đã được lưu trữ trước khi trang web bị gỡ xuống.

Cuộc điều tra cung cấp cái nhìn trực tiếp về cách các nhóm nhân viên CNTT của Triều Tiên thu tiền, duy trì danh tính giả mạo và chuyển tiền qua các hệ thống tiền điện tử và tiền pháp định, kèm theo tài liệu cho thấy cả quy mô và những lỗ hổng hoạt động mà các nhóm này dựa vào để duy trì hoạt động.