ZachXBT Publica Datos Filtrados de Pagos de la RPDC que Muestran $1M Flujo Mensual de Cripto a Fiat

El investigador de blockchain ZachXBT publicó un hilo de 11 partes el 8 de abril de 2026, exponiendo datos exfiltrados desde un servidor interno de pagos norcoreano utilizado por trabajadores de TI del DPRK, revelando más de $3.5 millones en pagos procesados desde finales de noviembre de 2025.

Aspectos clave:

• La investigación de ZachXBT del 8 de abril expuso un servidor de pagos de trabajadores de TI del DPRK que procesó más de $3.5 millones desde finales de noviembre de 2025.
• Tres entidades sancionadas por la OFAC, Sobaeksu, Saenal y Songkwang, aparecieron en la lista de usuarios filtrada desde luckyguys.site.
• El sitio interno del DPRK se desconectó el 9 de abril de 2026, pero ZachXBT archivó todos los datos antes de publicar el hilo de 11 partes.

Los hackers norcoreanos usaron la contraseña predeterminada ‘123456’ en el servidor interno de pagos cripto

Los datos filtrados provenían del dispositivo de un trabajador de TI del DPRK comprometido por malware infostealer. Una fuente no identificada compartió los archivos con ZachXBT, quien confirmó que el material nunca se había publicado públicamente. Los registros extraídos incluían aproximadamente 390 cuentas, registros de chat de IPMsg, identidades fabricadas, historial del navegador y registros de transacciones de criptomonedas.

La plataforma interna en el centro de la investigación era luckyguys.site, también referida internamente como WebMsg. Funcionaba como un mensajero estilo Discord, permitiendo a los trabajadores de TI del DPRK reportar pagos a sus encargados. Al menos diez usuarios nunca habían cambiado la contraseña predeterminada, que estaba configurada en “123456.”

La lista de usuarios contenía roles, nombres coreanos, ciudades y nombres codificados de grupos consistentes con operaciones conocidas de trabajadores de TI del DPRK. Tres empresas que aparecen en la lista, Sobaeksu, Saenal y Songkwang, están actualmente sancionadas por la Oficina de Control de Activos Extranjeros (Office of Foreign Assets Control) del Departamento del Tesoro de EE. UU.

Los pagos se confirmaron mediante una cuenta de administrador central identificada como PC-1234. ZachXBT compartió ejemplos de mensajes directos de un usuario con el apodo “Rascal”, que detallaban transferencias vinculadas a identidades fraudulentas que abarcaron de diciembre de 2025 a abril de 2026. Algunos mensajes mencionaban direcciones de Hong Kong para facturas y mercancías, aunque no se verificó su autenticidad.

Las direcciones de billetera de pago asociadas recibieron más de $3.5 millones durante ese período, lo que equivale a aproximadamente $1 millones por mes. Los trabajadores usaron documentos legales falsificados e identidades falsas para conseguir empleo. La cripto se transfería directamente desde exchanges o se convertía a fiat a través de cuentas bancarias chinas usando plataformas como Payoneer. La cuenta de administrador PC-1234 confirmó entonces la recepción y distribuyó credenciales para varias plataformas cripto y de fintech.

El análisis onchain vinculó las direcciones de pago internas con grupos conocidos de trabajadores de TI del DPRK. Se identificaron dos direcciones específicas: una dirección de Ethereum y una dirección de Tron que Tether congeló en diciembre de 2025.

ZachXBT usó el conjunto de datos completo para mapear la estructura organizativa completa de la red, incluyendo totales de pago por usuario y por grupo. Publicó un organigrama interactivo que cubría de diciembre de 2025 a febrero de 2026 en investigation.io/dprk-itw-breach, accesible con la contraseña “123456.”

El dispositivo comprometido y los registros de chat produjeron detalles adicionales. Los trabajadores usaron VPN Astrill y personajes falsos para postular a empleos. Las discusiones internas en Slack incluían una publicación de un usuario llamado “Nami” que compartía un blog sobre un solicitante deepfake de un trabajador del DPRK. El administrador también envió 43 módulos de entrenamiento de Hex-Rays e IDA Pro a los trabajadores entre noviembre de 2025 y febrero de 2026, cubriendo desensamblado, descompilación y depuración. Un enlace compartido en particular abordaba cómo desempaquetar ejecutables PE hostiles.

Se encontró que 33 trabajadores de TI del DPRK se comunicaban a través de la misma red IPMsg. Entradas de registro separadas hacían referencia a planes para robar a Arcano, un juego de GalaChain, usando un proxy nigeriano, aunque no estaba claro cuál fue el resultado de ese esfuerzo a partir de los datos.

ZachXBT caracterizó este grupo como menos sofisticado operativamente que grupos norcoreanos de nivel superior como Applejeus o Tradertraitor. Anteriormente estimó que los trabajadores de TI del DPRK en conjunto generan cifras de múltiples siete dígitos por mes. Señaló que los grupos de bajo nivel como este atraen a actores de amenazas porque el riesgo es bajo y la competencia es mínima.

El dominio luckyguys.site se desconectó el jueves, el día después de que ZachXBT publicara sus hallazgos. Confirmó que el conjunto de datos completo fue archivado antes de que el sitio fuera desconectado.

La investigación ofrece una vista directa de cómo las células de trabajadores de TI del DPRK recopilan pagos, mantienen identidades falsas y mueven dinero a través de sistemas cripto y fiat, con documentación que muestra tanto la escala como las brechas operativas en las que estos grupos se basan para mantenerse activos.