Penyelidik blockchain ZachXBT menerbitkan utas 11 bagian pada 8 April 2026, mengungkap data yang dicuri dari server pembayaran internal Korea Utara yang digunakan oleh pekerja TI DPRK, yang menunjukkan lebih dari $3,5 juta dalam pembayaran yang diproses sejak akhir November 2025.
Poin-Poin Utama:
- Investigasi ZachXBT pada 8 April mengungkap server pembayaran pekerja TI DPRK yang memproses lebih dari $3,5 juta sejak akhir November 2025.
- Tiga entitas yang dikenai sanksi OFAC, Sobaeksu, Saenal, dan Songkwang, muncul dalam daftar pengguna yang bocor dari luckyguys.site.
- Situs internal DPRK tersebut mati pada 9 April 2026, tetapi ZachXBT mengarsipkan semua data sebelum menerbitkan utas 11 bagian itu.
Peretas Korea Utara Menggunakan Kata Sandi Default ‘123456’ pada Server Pembayaran Kripto Internal
Data yang bocor berasal dari perangkat seorang pekerja TI DPRK yang disusupi malware infostealer. Seorang sumber yang tidak disebutkan namanya membagikan file-file tersebut kepada ZachXBT, yang mengonfirmasi bahwa materi itu belum pernah dirilis secara publik. Rekaman yang diekstrak mencakup sekitar 390 akun, log obrolan IPMsg, identitas palsu, riwayat browser, dan catatan transaksi mata uang kripto.
Platform internal yang menjadi pusat penyelidikan adalah luckyguys.site, yang juga disebut secara internal sebagai WebMsg. Platform itu berfungsi sebagai pengirim pesan bergaya Discord, yang memungkinkan pekerja TI DPRK melaporkan pembayaran kepada para pengendalinya. Sedikitnya sepuluh pengguna belum pernah mengganti kata sandi default, yang disetel ke “123456.”
Daftar pengguna berisi peran, nama-nama Korea, kota, dan nama grup berkode yang konsisten dengan operasi pekerja TI DPRK yang telah diketahui. Tiga perusahaan yang muncul dalam daftar, Sobaeksu, Saenal, dan Songkwang, saat ini dikenai sanksi oleh Kantor Pengendalian Aset Luar Negeri (Office of Foreign Assets Control) Departemen Keuangan AS.
Pembayaran dikonfirmasi melalui akun admin pusat yang diidentifikasi sebagai PC-1234. ZachXBT membagikan contoh pesan langsung dari seorang pengguna dengan julukan “Rascal,” yang merinci transfer yang terkait dengan identitas penipuan yang berlangsung dari Desember 2025 hingga April 2026. Beberapa pesan merujuk alamat di Hong Kong untuk tagihan dan barang, meskipun autentisitasnya tidak diverifikasi.
Alamat dompet pembayaran terkait menerima lebih dari $3,5 juta selama periode itu, setara dengan kira-kira $1 juta per bulan. Para pekerja menggunakan dokumen legal palsu dan identitas palsu untuk mendapatkan pekerjaan. Kripto ditransfer langsung dari bursa atau dikonversi menjadi fiat melalui akun bank Tiongkok menggunakan platform seperti Payoneer. Akun admin PC-1234 kemudian mengonfirmasi penerimaan dan mendistribusikan kredensial untuk berbagai platform kripto dan fintech.
Analisis onchain mengaitkan alamat pembayaran internal tersebut ke klaster-klaster yang diketahui dari pekerja TI DPRK. Dua alamat spesifik diidentifikasi: sebuah alamat Ethereum dan sebuah alamat Tron yang dibekukan Tether pada Desember 2025.
ZachXBT menggunakan seluruh kumpulan data untuk memetakan struktur organisasi lengkap jaringan tersebut, termasuk total pembayaran per pengguna dan per grup. Ia mempublikasikan bagan organisasi interaktif yang mencakup Desember 2025 hingga Februari 2026 di investigation.io/dprk-itw-breach, yang dapat diakses dengan kata sandi “123456.”
Perangkat yang disusupi dan log obrolan menghasilkan detail tambahan. Para pekerja menggunakan Astrill VPN dan persona palsu untuk melamar pekerjaan. Diskusi Slack internal mencakup sebuah unggahan dari pengguna bernama “Nami” yang membagikan blog tentang pelamar deepfake pekerja TI DPRK. Admin tersebut juga mengirimkan 43 modul pelatihan Hex-Rays dan IDA Pro kepada para pekerja antara November 2025 dan Februari 2026, mencakup disassembly, dekompilasi, dan debugging. Satu tautan yang dibagikan secara khusus membahas pembongkaran executable PE yang bermusuhan.
Tiga puluh tiga pekerja TI DPRK ditemukan berkomunikasi melalui jaringan IPMsg yang sama. Entri log terpisah merujuk pada rencana untuk mencuri dari Arcano, sebuah game GalaChain, menggunakan proksi dari Nigeria, meskipun hasil dari upaya tersebut tidak jelas dari data.
ZachXBT menggambarkan klaster ini sebagai kurang canggih secara operasional dibanding kelompok DPRK berlevel lebih tinggi seperti Applejeus atau Tradertraitor. Ia sebelumnya memperkirakan bahwa pekerja TI DPRK secara kolektif menghasilkan beberapa angka tujuh digit per bulan. Ia mencatat bahwa kelompok berlevel rendah seperti ini menarik aktor ancaman karena risikonya rendah dan persaingan minimal.
Domain luckyguys.site mati pada Kamis, hari setelah ZachXBT menerbitkan temuannya. Ia mengonfirmasi bahwa seluruh kumpulan data telah diarsipkan sebelum situs itu dimatikan.
Investigasi ini memberikan pandangan langsung tentang bagaimana sel-sel pekerja TI DPRK mengumpulkan pembayaran, mempertahankan identitas palsu, dan menggerakkan uang melalui sistem kripto dan fiat, dengan dokumentasi yang menunjukkan baik skala maupun celah operasional yang bergantung pada kelompok-kelompok ini untuk tetap aktif.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
