区块链调查员 ZachXBT 于 2026 年 4 月 8 日发布了一则 11 部分的帖子,揭露了从一台用于朝鲜民主主义人民共和国(DPRK)IT 工人的内部朝鲜支付服务器中泄露的数据,自 2025 年 11 月下旬以来,处理了超过 350 万美元的款项。
要点:
泄露的数据来自一台属于 DPRK IT 工人的设备,该设备已被信息窃取恶意软件攻陷。匿名消息源将文件分享给 ZachXBT,后者确认这些材料从未公开发布过。提取的记录包括大约 390 个账户、IPMsg 聊天日志、伪造身份、浏览器历史记录以及加密货币交易记录。
这次调查围绕的内部平台是 luckyguys.site,也被内部称为 WebMsg。它的功能类似 Discord 风格的即时通讯工具,使 DPRK IT 工人能够向他们的指挥者报告付款情况。至少有 10 名用户从未更改默认密码,该密码被设置为“123456。”
用户列表中包含角色、朝鲜姓名、城市以及与已知的 DPRK IT 工人作业方式相符的编码组名。名单中出现的三家公司 Sobaeksu、Saenal 和 Songkwang 目前均受到美国财政部外国资产控制办公室的制裁。
付款通过一个被识别为 PC-1234 的中央管理员账户进行确认。ZachXBT 分享了来自一名昵称为“Rascal”的用户的直接消息示例,这些示例详细描述了与欺诈性身份相关、覆盖 2025 年 12 月至 2026 年 4 月的转账。有些消息提到了香港用于账单和货物的地址,但尚未核实其真实性。
在该期间,这些关联的支付钱包地址累计收款超过 350 万美元,折算为每月约 $1 million。工人使用伪造的法律文件和虚假身份来获取就业。加密货币要么直接从交易所转出,要么通过使用诸如 Payoneer 之类的平台,将其兑换为经由中国银行账户收取的法币。管理员账户 PC-1234 随后确认收款,并向多个加密货币和金融科技平台分发凭证。
链上分析将内部支付地址与已知的 DPRK IT 工人集群关联起来。已识别出两个特定地址:一个以太坊地址,以及一个在 2025 年 12 月被 Tether 冻结的 Tron 地址。
ZachXBT 使用完整数据集来绘制该网络的完整组织结构,包括每位用户以及每个组的付款总额。他在 investigation.io/dprk-itw-breach 发布了覆盖 2025 年 12 月至 2026 年 2 月的交互式组织架构图,可使用密码“123456”访问。
受攻陷设备和聊天日志的影响,还产生了更多细节。工人使用 Astrill VPN 和虚构人设来申请工作。内部 Slack 讨论中包含一条来自名为“Nami”的用户的帖子,内容是分享一篇关于 DPRK 工人深度伪造申请者的博客。管理员还在 2025 年 11 月至 2026 年 2 月期间向工人发送了 43 个 Hex-Rays 和 IDA Pro 培训模块,涵盖反汇编、反编译和调试。其中一条共享链接专门针对解包恶意 PE 可执行文件。
共发现有 33 名 DPRK IT 工人通过同一套 IPMsg 网络进行通信。单独的日志条目提到了使用尼日利亚代理从 Arcano(一个 GalaChain 游戏)偷窃的计划,但从数据中无法明确该努力的结果。
ZachXBT 将这一集群描述为在作业层面的复杂程度上不如更高层级的 DPRK 组织,例如 Applejeus 或 Tradertraitor。他此前估计,DPRK IT 工人整体每月会产生多达“数个七位数”的收入。他指出,像这种低层级组织之所以会吸引威胁行为者,是因为风险较低、竞争也几乎不存在。
luckyguys.site 域名在周四下线——也就是 ZachXBT 公布调查结果后的第二天。他确认在网站被关闭之前,完整数据集已被归档。
这项调查提供了一个直接的视角,展示 DPRK IT 工人分支如何收集付款、维持虚假身份,并通过加密货币与法币系统转移资金;并附有文档,既体现了这些组织依靠规模与运作漏洞来保持活跃所依赖的程度,也揭示了他们在运作层面的落差。
