Дослідник блокчейн-злочинів ZachXBT опублікував тред із 11 частин 8 квітня 2026 року, викривши дані, викрадені з внутрішнього північнокорейського платіжного сервера, який використовували ІТ-працівники КНДР, що засвідчило понад $3,5 млн оброблених платежів з кінця листопада 2025 року.
Ключові висновки:
- Дослідження ZachXBT від 8 квітня викрило платіжний сервер для оплати працівниками ІТ КНДР, який обробив понад $3,5 млн з кінця листопада 2025 року.
- У зламаному списку користувачів luckyguys.site з’явилися три організації під санкціями OFAC: Sobaeksu, Saenal і Songkwang.
- Внутрішній сайт КНДР було вимкнено 9 квітня 2026 року, але ZachXBT заархівував усі дані до публікації треду з 11 частин.
Північнокорейські хакери використовували стандартний пароль «123456» на внутрішньому криптоплатіжному сервері
Злиті дані надійшли з пристрою працівника ІТ КНДР, скомпрометованого шкідливим ПЗ для викрадення інформації (infostealer). Неназване джерело передало файли ZachXBT, який підтвердив, що матеріали ніколи не публікувалися публічно. Витягнуті записи містили приблизно 390 облікових записів, журнали чатів IPMsg, вигадані ідентичності, історію браузера та записи криптовалютних транзакцій.
Внутрішньою платформою, що була в центрі розслідування, була luckyguys.site, яку також у внутрішній переписці називали WebMsg. Вона працювала як месенджер у стилі Discord, дозволяючи працівникам ІТ КНДР звітувати про платежі своїм кураторам. Принаймні десять користувачів ніколи не змінювали стандартний пароль, який було встановлено на «123456».
Список користувачів містив ролі, корейські імена, міста та закодовані назви груп, узгоджені з відомими операціями ІТ-працівників КНДР. Три компанії, що фігурували в списку — Sobaeksu, Saenal і Songkwang — наразі під санкціями Управління з контролю за іноземними активами (Office of Foreign Assets Control) Держскарбництва США.
Платежі підтверджувалися через центральний обліковий запис адміністратора, який ідентифікували як PC-1234. ZachXBT поділився прикладами прямих повідомлень від користувача з нікнеймом «Rascal», де детально описувалися перекази, прив’язані до шахрайських ідентичностей у період від грудня 2025 року до квітня 2026 року. Деякі повідомлення посилалися на адреси в Гонконзі для рахунків і товарів, хоча їх автентичність не була перевірена.
Пов’язані гаманці для платежів отримали понад $3,5 млн за цей період, що відповідає приблизно $1 мільйона на місяць. Працівники використовували підроблені юридичні документи та фальшиві ідентичності, щоб отримати працевлаштування. Криптовалюта або напряму переводилася з бірж, або конвертувалася у фіат через китайські банківські рахунки за допомогою таких платформ, як Payoneer. Потім адміністраторський обліковий запис PC-1234 підтвердив отримання і розіслав доступи (credentials) для різних крипто- та фінтех-платформ.
Розбір на рівні блокчейну (onchain) прив’язав внутрішні адреси для платежів до відомих кластерів працівників ІТ КНДР. Було ідентифіковано дві конкретні адреси: адресу в Ethereum і адресу в Tron, яку Tether заморозив у грудні 2025 року.
ZachXBT використав повний набір даних, щоб відобразити повну організаційну структуру мережі, зокрема підсумки платежів для кожного користувача та для кожної групи. Він опублікував інтерактивну org chart (організаційну схему) за період з грудня 2025 року по лютий 2026 року на investigation.io/dprk-itw-breach, доступну з паролем «123456».
Скомпрометований пристрій і журнали чатів надали додаткові деталі. Працівники використовували VPN Astrill і вигадані персони, щоб подаватися на роботу. Внутрішні дискусії в Slack містили допис від користувача на ім’я «Nami», який ділився блогом про заявника з глибоким фейком (deepfake) працівника ІТ КНДР. Також адміністратор відправив 43 навчальні модулі для Hex-Rays та IDA Pro працівникам у період між листопадом 2025 року та лютим 2026 року, охоплюючи розбирання (disassembly), декомпіляцію (decompilation) і дебагінг. Одна з відправлених лінків зокрема стосувалася розпакування ворожих виконуваних файлів PE.
Було виявлено 33 працівники ІТ КНДР, які спілкувалися через ту саму мережу IPMsg. Окремі записи логів згадували плани вкрасти в Arcano, грі GalaChain, використовуючи нігерійський проксі, хоча результат цього зусилля з даних не був зрозумілим.
ZachXBT охарактеризував цей кластер як менш операційно витончений, ніж угруповання вищого рівня КНДР, такі як Applejeus або Tradertraitor. Раніше він оцінював, що працівники ІТ КНДР сукупно генерують кілька семизначних сум на місяць. Він зазначив, що групи нижчого рівня на кшталт цієї приваблюють акторів загроз, тому що ризик низький і конкуренція мінімальна.
Домен luckyguys.site було вимкнено в четвер — в день, наступний після того, як ZachXBT опублікував свої висновки. Він підтвердив, що повний набір даних було заархівовано до того, як сайт зняли з доступу.
Розслідування дає прямий погляд на те, як осередки працівників ІТ КНДР збирають платежі, підтримують фальшиві ідентичності та переміщують гроші через крипто- і фіат-системи, з документуванням, яке показує як масштаби, так і операційні прогалини, на які ці групи покладаються, щоб залишатися активними.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
