ZachXBT publica dados de pagamentos da DPRK vazados, mostrando o pipeline mensal de cripto-para-fiat $1M

O investigador de blockchain ZachXBT publicou uma sequência em 11 partes a 8 de abril de 2026, expondo dados exfiltrados a partir de um servidor interno de pagamentos norte-coreano usado por trabalhadores de TI da RPDC, revelando mais de 3,5 milhões de dólares em pagamentos processados desde finais de novembro de 2025.

Principais conclusões:

• A investigação de ZachXBT de 8 de abril revelou um servidor de pagamentos de um trabalhador de TI da RPDC que processou mais de 3,5 milhões de dólares desde finais de novembro de 2025.
• Três entidades sancionadas pela OFAC, Sobaeksu, Saenal e Songkwang, apareceram na lista de utilizadores comprometida a partir de luckyguys.site.
• O site interno da RPDC ficou offline a 9 de abril de 2026, mas ZachXBT arquivou todos os dados antes de publicar a sequência em 11 partes.

Hackers norte-coreanos usaram a palavra-passe predefinida ‘123456’ num servidor interno de pagamentos cripto

Os dados divulgados tiveram origem num dispositivo de um trabalhador de TI da RPDC comprometido por malware infostealer. Uma fonte não identificada partilhou os ficheiros com ZachXBT, que confirmou que o material nunca tinha sido disponibilizado publicamente. Os registos extraídos incluíam aproximadamente 390 contas, registos de chat do IPMsg, identidades fabricadas, histórico do navegador e registos de transações de criptomoedas.

A plataforma interna no centro da investigação era luckyguys.site, também referida internamente como WebMsg. Funcioou como um mensageiro estilo Discord, permitindo que trabalhadores de TI da RPDC reportassem pagamentos aos seus contactos. Pelo menos dez utilizadores nunca tinham alterado a palavra-passe predefinida, que estava definida para “123456.”

A lista de utilizadores continha cargos, nomes coreanos, cidades e nomes de grupos codificados consistentes com operações conhecidas de trabalhadores de TI da RPDC. Três empresas que aparecem na lista, Sobaeksu, Saenal e Songkwang, estão atualmente sancionadas pelo Gabinete de Controlo de Ativos Estrangeiros do Departamento do Tesouro dos EUA.

Os pagamentos foram confirmados através de uma conta de admin central identificada como PC-1234. ZachXBT partilhou exemplos de mensagens diretas de um utilizador com o pseudónimo “Rascal”, que descreviam transferências associadas a identidades fraudulentas que se estendiam de dezembro de 2025 a abril de 2026. Algumas mensagens faziam referência a moradas de Hong Kong para faturas e bens, embora a sua autenticidade não tenha sido verificada.

Os endereços da carteira de pagamento associados receberam mais de 3,5 milhões de dólares durante esse período, o que corresponde a cerca de $1 milhões por mês. Os trabalhadores usaram documentos legais forjados e identidades falsas para obter emprego. A cripto era transferida diretamente de exchanges ou convertida em moeda fiduciária através de contas bancárias chinesas usando plataformas como Payoneer. A conta de admin PC-1234, por sua vez, confirmou a receção e distribuiu credenciais para várias plataformas de cripto e fintech.

A análise onchain associou os endereços de pagamento internos a grupos conhecidos de trabalhadores de TI da RPDC. Foram identificados dois endereços específicos: um endereço Ethereum e um endereço Tron que a Tether congelou em dezembro de 2025.

ZachXBT usou o conjunto de dados completo para mapear a estrutura organizacional completa da rede, incluindo totais de pagamentos por utilizador e por grupo. Publicou um organigrama interativo cobrindo dezembro de 2025 até fevereiro de 2026 em investigation.io/dprk-itw-breach, acessível com a palavra-passe “123456.”

O dispositivo comprometido e os registos de chat produziram detalhes adicionais. Os trabalhadores usaram a VPN Astrill e personas falsas para se candidatarem a empregos. Discussões internas no Slack incluíam uma publicação de um utilizador chamado “Nami” a partilhar um blog sobre um candidato deepfake de um trabalhador da RPDC. O admin também enviou 43 módulos de treino Hex-Rays e IDA Pro aos trabalhadores entre novembro de 2025 e fevereiro de 2026, cobrindo desmontagem, descompilação e depuração. Uma ligação partilhada abordava especificamente a desmontagem de executáveis PE hostis.

Foram encontrados 33 trabalhadores de TI da RPDC a comunicar através da mesma rede IPMsg. Entradas de registo separadas referiam planos para roubar da Arcano, um jogo da GalaChain, usando um proxy nigeriano, embora o resultado desse esforço não fosse claro a partir dos dados.

ZachXBT caracterizou este grupo como menos sofisticado do ponto de vista operacional do que grupos norte-coreanos de nível superior, como Applejeus ou Tradertraitor. Ele tinha estimado anteriormente que os trabalhadores de TI da RPDC, em conjunto, geram vários algarismos na casa das dezenas de milhar por mês. Observou que grupos de escalão inferior como este atraem agentes de ameaça porque o risco é baixo e a concorrência é mínima.

O domínio luckyguys.site ficou offline na quinta-feira, no dia seguinte ao dia em que ZachXBT publicou as suas conclusões. Ele confirmou que o conjunto de dados completo foi arquivado antes de o site ser retirado do ar.

A investigação oferece uma visão direta de como as células de trabalhadores de TI da RPDC recolhem pagamentos, mantêm identidades falsas e movem dinheiro através de sistemas de cripto e de moeda fiduciária, com documentação que mostra tanto a dimensão como as lacunas operacionais em que estes grupos se apoiam para se manterem ativos.