區塊鏈調查員 ZachXBT 於 2026 年 4 月 8 日發布了一篇 11-part 系列貼文,揭露了從一台供 DPRK IT 工作人員使用的北韓內部支付伺服器外洩的資料,顯示自 2025 年 11 月下旬以來已完成超過 350 萬美元的處理款項。
重點整理:
外洩資料來自一名 DPRK IT 工作人員的裝置,該裝置遭到資訊竊取惡意程式(infostealer)入侵。未具名的消息來源將檔案提供給 ZachXBT,ZachXBT 確認這些內容從未曾被公開發布。擷取到的紀錄包含約 390 個帳戶、IPMsg 聊天紀錄、捏造的身分、瀏覽器歷史,以及加密貨幣交易紀錄。
本次調查的核心內部平台為 luckyguys.site,亦在內部被稱為 WebMsg。它運作方式類似 Discord 的通訊軟體,讓 DPRK IT 工作人員能夠向其指揮者回報付款。至少有十名使用者從未更改預設密碼,而該預設密碼設定為「123456」。
使用者名單包含職務角色、韓國姓名、城市,以及與已知 DPRK IT 工作人員作業模式相符的代碼化群組名稱。名單中出現的三家公司 Sobaeksu、Saenal 與 Songkwang,現皆受到美國財政部(U.S. Treasury)外國資產控制辦公室(Office of Foreign Assets Control)的制裁。
付款係透過一個被辨識為 PC-1234 的中央管理員帳戶得到確認。ZachXBT 分享了來自一名暱稱「Rascal」的使用者之私訊範例,內容詳細說明了 2025 年 12 月至 2026 年 4 月期間,與詐欺身分相關的轉帳。有些訊息提到用於帳單與商品的香港地址,但其真實性並未經過驗證。
該期間相關的付款錢包地址共收到超過 350 萬美元,相當於每月約 $1 百萬美元。工作人員透過偽造的法定文件與虛假身分取得工作。加密貨幣要嘛直接從交易所轉出,要嘛透過使用像 Payoneer 這類平台,利用中國的銀行帳戶將其兌換為法幣。隨後,管理員帳戶 PC-1234 會確認收款,並分發多個加密貨幣與金融科技平台的憑證。
鏈上分析將這些內部付款地址連結到已知的 DPRK IT 工作人員群組集群。已辨識出兩個特定地址:一個以太坊(Ethereum)地址,以及一個 2025 年 12 月遭到 Tether 凍結的 Tron 地址。
ZachXBT 使用完整資料集,繪製出該網路的完整組織架構,包括每位使用者與每個群組的付款總額。他在 investigation.io/dprk-itw-breach 發布了涵蓋 2025 年 12 月至 2026 年 2 月的互動式組織架構圖,並可透過密碼「123456」存取。
遭入侵的裝置與聊天紀錄也產生了更多細節。工作人員使用 Astrill VPN 與虛構的個人身分來申請工作。內部 Slack 討論中包含一則名為「Nami」的使用者貼文,分享了一篇關於 DPRK 工作人員深偽申請者(deepfake applicant)的部落格內容。管理員也在 2025 年 11 月至 2026 年 2 月期間,向工作人員寄送了 43 個 Hex-Rays 與 IDA Pro 的訓練模組,涵蓋反組譯、去編譯(decompilation)與除錯(debugging)。其中一個分享連結特別針對如何解包(unpacking)具敵意的 PE 可執行檔(hostile PE executables)。
共發現 33 名 DPRK IT 工作人員透過同一套 IPMsg 網路進行通訊。另有獨立的紀錄條目提到計畫透過奈及利亞(Nigerian)代理從 Arcano(GalaChain 的一款遊戲)竊取資金,但就資料而言,無法確定該計畫的結果。
ZachXBT 將這個集群描述為在作業層級上不如 Applejeus 或 Tradertraitor 等較高階的 DPRK 群組。他先前曾估計,DPRK IT 工作人員整體每月會產生多達數個七位數等級(multiple seven figures)的收入。他指出,像這種低階群組之所以會吸引威脅行為者,是因為風險較低、競爭也相對有限。
luckyguys.site 網域在週四下線,也就是 ZachXBT 公布其調查發現的隔天。他確認在網站被關閉之前,完整資料已先行歸檔。
這項調查提供了對 DPRK IT 工作人員據點如何收取款項、如何維持虛假身分,以及如何透過加密貨幣與法幣系統移動資金的直接觀察;同時附上文件,顯示這些群組用以維持運作的規模,以及它們所依賴的作業落差所在,從而能夠持續活躍。
