Дослідник блокчейну ZachXBT опублікував 8 квітня 2026 року детальний аналіз внутрішніх даних, виведених з-під контролю з північнокорейського платіжного сервера, що розкрив схему, яка обробляла приблизно $1 мільйон на місяць у криптовалюті через фальшиві особи, підроблені юридичні документи та скоординовані системи конвертації крипто-у-фіат.
Набір даних включає 390 акаунтів, журнали чатів і записи транзакцій за період з кінця 2025 року до початку 2026 року: відстежувані адреси гаманців обробляли понад $3,5 мільйона, а також містили посилання на три організації, які наразі перебувають під санкціями Управління з контролю за іноземними активами США (OFAC).
Внутрішні дані платіжного сервера розкривають скоординовану мережу
Неназване джерело надало дані, витягнуті з внутрішнього платіжного сервера, який використовували ІТ-працівники Північної Кореї (DPRK). Набір даних містить журнали чатів з IPMsg, списки акаунтів, історії браузерів і записи транзакцій. Користувачі обговорювали платформу під назвою luckyguys[.]site, яку описували як хаб для переказів, що функціонував і як інструмент для повідомлень, і як канал для звітності. Працівники подавали звіти про заробіток і отримували інструкції через цю платформу.
Слабка безпека викрила систему: кілька акаунтів використовували пароль за замовчуванням “123456” без будь-яких змін. У записах користувачів були вказані корейські імена, міста та закодовані ідентифікатори груп. Три сутності — Sobaeksu, Saenal і Songkwang — з’явилися в даних і наразі перебувають під санкціями OFAC, пов’язуючи мережу з раніше ідентифікованими операціями.
Адміністративний акаунт, ідентифікований як PC-1234, підтвердив платежі та розподілив облікові дані акаунтів, які різнилися між криптобіржами та фінтех-платформами залежно від потреб користувача.
Шаблони транзакцій показують стабільний потік $3,5 мільйона
Починаючи з кінця листопада 2025 року відстежувані адреси гаманців обробили понад $3,5 мільйона. Патерн переказів був послідовним: користувачі переводили криптовалюту з бірж або сервісів, а потім конвертували її у фіат через китайські банківські акаунти або платформи на кшталт Payoneer. PC-1234 підтвердив отримання та надав облікові дані акаунтів.
Блокчейн-трасування зв’язало кілька платіжних адрес із відомими кластерами DPRK. Одну платіжну адресу Tron у грудні 2025 року було заморожено Tether. ZachXBT відобразив повну організаційну структуру мережі, включно з підсумками платежів на користувача та групи, на основі зібраних транзакційних даних за період з грудня 2025 року по лютий 2026 року.
Фальшиві особи, навчання та координація
Компрометовані дані з пристрою виявили фальшиві персоналії, заявки на роботу та активність у браузері. Працівники покладалися на такі інструменти, як VPN Astrill, щоб приховувати локації. Внутрішні обговорення в Slack посилалися на допис у блозі про глибокофейкового претендента на посаду. Один скріншот показав 33 ІТ-працівників DPRK, які спілкувалися в одній і тій самій мережі через IPMsg.
Один працівник активно обговорював крадіжку в проєкті під назвою Arcano (гру GalaChain) з іншим ІТ-працівником DPRK через нігерійський проксі, хоча залишається незрозумілим, чи атака матеріалізувалася. Адміністратор надіслав 43 навчальні модулі, що охоплювали теми з реверс-інжинірингу, включно з Hex‑Rays та IDA Pro, зосереджуючись на дизасемблюванні, налагодженні та аналізі шкідливого ПЗ, що вказує на триваючу технічну розробку всередині мережі.
Порівняння з іншими групами загроз DPRK
ZachXBT зазначив, що цей кластер активності ІТ-працівників DPRK є менш досконалим порівняно з групами на кшталт AppleJeus і TraderTraitor, які працюють значно ефективніше та становлять найбільші ризики для індустрії. Він оцінив, що ІТ-працівники DPRK генерують кілька семизначних сум на місяць у вигляді доходу, і дані підтверджують це. Він також припустив, що актори загроз залишають можливість, не націлюючись на ІТ-групи DPRK нижчого рівня, посилаючись на низький ризик наслідків і мінімальну конкуренцію.
FAQ
Які дані ZachXBT розкрив про ІТ-працівників Північної Кореї?
ZachXBT опублікував внутрішні дані з компрометованого платіжного сервера DPRK, включно з 390 акаунтами, журналами чатів, записами транзакцій та фальшивими особами. Дані розкрили схему, яка обробляла приблизно $1 мільйон на місяць у криптовалюті, а відстежувані гаманці обробляли понад $3,5 мільйона починаючи з кінця 2025 року.
Які компанії були ідентифіковані як частина мережі?
Три сутності — Sobaeksu, Saenal і Songkwang — з’явилися в даних і наразі перебувають під санкціями Управління з контролю за іноземними активами США (OFAC), пов’язуючи мережу з раніше ідентифікованими операціями DPRK.
Які навчальні матеріали були знайдені в даних?
Адміністратор надіслав 43 навчальні модулі, що охоплюють реверс-інжиніринг, дизасемблювання, декомпіляцію, локальне та віддалене налагодження, а також аналіз шкідливого ПЗ за допомогою інструментів на кшталт Hex‑Rays і IDA Pro, що вказує на триваючу технічну розробку всередині мережі.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
