ZachXBT 公布了泄露的朝鲜支付数据，显示每月有 100 万美元通过加密货币兑换法币的渠道

• ZachXBT于4月8日发布的调查报告揭露了一台朝鲜IT人员支付服务器，该服务器自2025年11月下旬以来已处理超过350万美元的交易。
• 三家受美国财政部外国资产控制办公室（OFAC）制裁的实体——Sobaeksu、Saenal和Songkwang——出现在luckyguys.site泄露的用户名单中。
• 该朝鲜内部网站于2026年4月9日下线，但ZachXBT在发布这篇共11部分的帖子前已存档了所有数据。

朝鲜黑客在内部加密货币支付服务器上使用了默认密码“123456”

泄露的数据源自一名朝鲜IT工作人员的设备，该设备遭信息窃取型恶意软件入侵。一名匿名消息源将文件分享给ZachXBT，后者证实这些材料此前从未公开发布。提取的记录包含约390个账户、IPMsg聊天日志、伪造身份信息、浏览器历史记录以及加密货币交易记录。

调查核心的内部平台是luckyguys.site，内部也称为WebMsg。它作为一款Discord风格的即时通讯工具，允许朝鲜IT人员向其联络人报告付款情况。至少有十名用户从未更改过默认密码，该密码被设置为“123456”。

用户列表中包含角色、朝鲜语姓名、城市及编码化的小组名称，这些特征与已知的朝鲜IT人员行动模式一致。名单中出现的Sobaeksu、Saenal和Songkwang三家公司，目前均受到美国财政部外国资产控制办公室的制裁。

付款记录通过一个名为PC-1234的中央管理员账户得到确认。ZachXBT分享了昵称为“Rascal”的用户发出的私信示例，其中详细记载了2025年12月至2026年4月期间与虚假身份相关的转账记录。部分消息提及香港地址用于账单和货物，但其真实性尚未得到核实。

相关支付钱包地址在此期间共收到超过350万美元，相当于每月约100万美元。这些人员利用伪造的法律文件和虚假身份获得工作机会。加密货币要么直接从交易所转出，要么通过Payoneer等平台经由中国银行账户兑换成法币。随后，管理员账户PC-1234确认收款，并分发各类加密货币及金融科技平台的登录凭证。

链上分析将这些内部支付地址与已知的朝鲜IT人员集群关联起来。其中两个具体地址已被识别：一个以太坊地址和一个波场地址，后者已被Tether于2025年12月冻结。

ZachXBT利用完整数据集绘制了该网络的完整组织结构图，包括每位用户及各小组的支付总额。他在investigation.io/dprk-itw-breach发布了一份涵盖2025年12月至2026年2月的交互式组织结构图，密码为“123456”。

遭入侵的设备和聊天日志提供了更多细节。工作人员使用Astrill VPN和虚假身份申请工作。内部Slack讨论中，一名名为“Nami”的用户曾分享一篇关于朝鲜工作人员深伪（deepfake）求职者的博客。2025年11月至2026年2月期间，管理员还向工作人员发送了43个Hex-Rays和IDA Pro培训模块，内容涵盖反汇编、反编译和调试。 其中一个共享链接专门讲解了如何解包恶意PE可执行文件。发现33名朝鲜IT人员通过同一IPMsg网络进行通信。另有日志条目提及计划利用尼日利亚代理从GalaChain游戏《Arcano》中窃取数据，但数据中未明确显示该行动的结果。

ZachXBT认为，该团伙在操作层面不如Applejeus或Tradertraitor等更高阶的朝鲜组织成熟。他此前曾估算，朝鲜IT人员每月总计可赚取数百万美元。他指出，像这样低阶的团伙之所以吸引威胁行为者，是因为风险低且竞争小。

在ZachXBT发布调查结果的次日，即周四，luckyguys.site域名已下线。他证实，在网站被关闭前已完整存档了全部数据集。 此次调查直观揭示了朝鲜IT人员小组如何收取报酬、维持虚假身份，以及如何通过加密货币和法币系统转移资金，相关文件不仅展示了这些团伙的运作规模，也暴露了其赖以维持活动的操作漏洞。