Блокчейн-следователь ZachXBT опубликовал тред из 11 частей 8 апреля 2026 года, разоблачая утечку данных, эксфильтрированных с внутреннего платежного сервера Северной Кореи, который использовали ИТ-работники DPRK. Материал показал, что с позднего ноября 2025 года было обработано более $3.5 млн платежей.
Основные выводы:
- Расследование ZachXBT от 8 апреля вскрыло платежный сервер для расчетов для ИТ-работников DPRK, который обрабатывал более $3.5 млн с позднего ноября 2025 года.
- В списке взломанных пользователей luckyguys.site фигурировали три организации, внесенные в санкционный список OFAC: Sobaeksu, Saenal и Songkwang.
- Внутренний сайт DPRK отключился 9 апреля 2026 года, но ZachXBT заархивировал все данные до публикации треда из 11 частей.
Северокорейские хакеры использовали стандартный пароль «123456» на внутреннем криптоплатежном сервере
Слитые данные поступили с устройства ИТ-работника DPRK, которое было скомпрометировано вредоносной программой-инфостилером. Неизвестный источник передал файлы ZachXBT, который подтвердил, что этот материал никогда не публиковался публично. Извлеченные записи включали примерно 390 учетных записей, журналы чата IPMsg, сфабрикованные личности, историю браузера и записи криптовалютных транзакций.
Внутренняя платформа, лежащая в основе расследования, — luckyguys.site, также упоминаемая внутри как WebMsg. Она работала как мессенджер в стиле Discord, позволяя ИТ-работникам DPRK сообщать о платежах своим кураторам. По меньшей мере десять пользователей никогда не меняли пароль по умолчанию, который был задан как «123456».
Список пользователей включал роли, корейские имена, города и закодированные названия групп, соответствующие известным операциям ИТ-работников DPRK. Три компании, появляющиеся в списке, Sobaeksu, Saenal и Songkwang, в настоящее время находятся под санкциями Управления по контролю за иностранными активами (Office of Foreign Assets Control) Министерства финансов США.
Платежи подтверждались через центральную админ-учетную запись, идентифицированную как PC-1234. ZachXBT приводил примеры из личных сообщений пользователя, которого называли «Rascal», где описывались переводы, связанные с мошенническими личностями в период с декабря 2025 по апрель 2026 года. В некоторых сообщениях упоминались адреса в Hong Kong для счетов и товаров, однако их подлинность не была подтверждена.
Соответствующие адреса платежных кошельков получили более $3.5 млн за этот период, что соответствует примерно $1 million в месяц. Работники использовали поддельные юридические документы и фальшивые личности, чтобы получить трудоустройство. Криптовалюта либо напрямую переводилась с бирж, либо конвертировалась в фиат через китайские банковские аккаунты с использованием платформ вроде Payoneer. Затем админ-аккаунт PC-1234 подтвердил получение и распределил учетные данные для различных крипто- и финтех-платформ.
Ончейн-анализ связал внутренние платежные адреса с известными кластерами ИТ-работников DPRK. Были идентифицированы два конкретных адреса: адрес Ethereum и адрес Tron, который Tether заморозил в декабре 2025 года.
ZachXBT использовал полный массив данных, чтобы составить карту полной организационной структуры сети, включая суммы платежей по пользователям и по группам. Он опубликовал интерактивную организационную схему, охватывающую период с декабря 2025 по февраль 2026 года, на investigation.io/dprk-itw-breach, доступную с паролем «123456».
Скомпрометированное устройство и журналы чатов дали дополнительные детали. Работники использовали Astrill VPN и фальшивые персонажи, чтобы подавать заявки на работу. Внутренние обсуждения в Slack включали публикацию от пользователя по имени «Nami», который поделился блогом о заявителе deepfake, связанном с ИТ-работником DPRK. Админ также отправлял работникам 43 обучающих модуля Hex-Rays и IDA Pro в период с ноября 2025 по февраль 2026 года, охватывающих дизассемблирование, декомпиляцию и отладку. Один из общих ссылок был специально посвящен распаковке вредоносных PE-исполняемых файлов.
Было установлено, что 33 ИТ-работника DPRK общаются через одну и ту же сеть IPMsg. Отдельные записи логов упоминали планы похищать у Arcano, игры GalaChain, используя нигерийский прокси, однако по данным не было ясно, чем закончилась эта попытка.
ZachXBT охарактеризовал этот кластер как менее операционно изощренный, чем более высокоуровневые группы DPRK, такие как Applejeus или Tradertraitor. Ранее он оценивал, что ИТ-работники DPRK в совокупности генерируют несколько семизначных сумм в месяц. Он отметил, что низкоуровневые группы вроде этой привлекают злоумышленников, потому что риск невысок, а конкуренция минимальна.
Домен luckyguys.site отключился в четверг — на следующий день после того, как ZachXBT опубликовал свои выводы. Он подтвердил, что полный массив данных был заархивирован до того, как сайт отключили.
Это расследование дает прямой взгляд на то, как ячейки ИТ-работников DPRK собирают платежи, поддерживают фальшивые личности и перемещают деньги через крипто- и фиат-системы, с документацией, которая показывает и масштаб, и операционные пробелы, на которые эти группы полагаются, чтобы оставаться активными.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
