Инвестигатор по блокчейну ZachXBT опубликовал 8 апреля 2026 года подробный анализ внутренних данных, похищенных из северокорейского платежного сервера, раскрыв схему, которая обрабатывала приблизительно $1 миллион в месяц в криптовалюте через подставные личности, поддельные юридические документы и скоординированные системы конвертации крипто‑в‑фиат.
Набор данных включает 390 аккаунтов, журналы чатов и записи транзакций за период с конца 2025 года по начало 2026 года; отслеживаемые адреса кошельков обрабатывали более $3.5 миллиона, а также содержатся привязки к трем организациям, которые в настоящее время внесены в санкционный список Управления по контролю за иностранными активами США (OFAC).
Данные внутреннего платежного сервера раскрывают скоординированную сеть
Неизвестный источник предоставил данные, извлеченные из внутреннего платежного сервера, который использовали IT‑работники Северной Кореи (DPRK). Набор данных включает журналы чатов из IPMsg, списки аккаунтов, историю браузеров и записи транзакций. Пользователи обсуждали платформу под названием luckyguys[.]site, описанную как хаб для денежных переводов, который работал и как инструмент обмена сообщениями, и как канал для отчетности. Работники отправляли заработки и получали инструкции через эту платформу.
Слабая безопасность вскрыла систему: несколько аккаунтов использовали пароль по умолчанию “123456” без изменений. В пользовательских записях были указаны корейские имена, города и закодированные идентификаторы групп. В данных появились три организации — Sobaeksu, Saenal и Songkwang — и сейчас они находятся под санкциями OFAC, что связывает сеть с ранее выявленными операциями.
Административный аккаунт, идентифицированный как PC-1234, подтвердил платежи и распределял учетные данные аккаунтов, которые различались между криптовалютными биржами и финтех‑платформами в зависимости от потребностей пользователей.
Паттерны транзакций показывают стабильный поток $3.5 миллиона
С конца ноября 2025 года отслеживаемые адреса кошельков обработали более $3.5 миллиона. Паттерн денежных переводов был стабильным: пользователи переводили криптовалюту из бирж или сервисов, затем конвертировали ее в фиат через Chinese bank accounts или платформы вроде Payoneer. PC-1234 подтвердил получение и предоставил учетные данные.
Блокчейн‑трейсинг связал несколько платежных адресов с известными кластерами DPRK. Один адрес платежа в Tron был заморожен Tether в декабре 2025 года. ZachXBT составил полную организационную структуру сети, включая итоги платежей по пользователям и группам, на основе собранных транзакционных данных за период с декабря 2025 по февраль 2026 года.
Подставные личности, обучение и координация
Данные скомпрометированного устройства раскрыли поддельных персон, заявления о приеме на работу и активность в браузере. Работники полагались на такие инструменты, как Astrill VPN, чтобы скрывать местоположение. Внутренние обсуждения в Slack ссылались на пост в блоге о кандидате на работу с deepfake. На одном скриншоте было показано 33 IT‑работника из DPRK, которые общались в одной и той же сети через IPMsg.
Один работник активно обсуждал кражу у проекта под названием Arcano (игра GalaChain) с другим IT‑работником из DPRK через нигерийский прокси, хотя по‑прежнему неясно, материализовалась ли атака. Админ отправил 43 модуля обучения, охватывающих темы обратной разработки, включая Hex‑Rays и IDA Pro, с фокусом на дизассемблирование, отладку и анализ вредоносного ПО, что указывает на продолжающееся техническое развитие внутри сети.
Сравнение с другими группами угроз DPRK
ZachXBT отметил, что этот кластер активности IT‑работников DPRK менее продвинут по сравнению с группами вроде AppleJeus и TraderTraitor, которые действуют гораздо более эффективно и создают наибольшие риски для отрасли. Он оценил, что IT‑работники DPRK генерируют несколько семизначных сумм в месяц в виде выручки, и данные это подтверждают. Он также предположил, что злоумышленники оставляют возможность, не нацеливаясь на группы DPRK низкого уровня, ссылаясь на низкий риск последствий и минимальную конкуренцию.
FAQ
Какие данные ZachXBT раскрыл об IT‑работниках из Северной Кореи?
ZachXBT опубликовал внутренние данные из скомпрометированного платежного сервера DPRK, включая 390 аккаунтов, журналы чатов, записи транзакций и поддельные личности. Данные раскрыли схему, обрабатывавшую приблизительно $1 миллион в месяц в криптовалюте, при этом отслеживаемые кошельки обрабатывали более $3.5 миллиона с конца 2025 года.
Какие компании были идентифицированы как часть сети?
Три организации — Sobaeksu, Saenal и Songkwang — появились в данных и сейчас находятся под санкциями Управления по контролю за иностранными активами США (OFAC), связывая сеть с ранее выявленными операциями DPRK.
Какие учебные материалы были найдены в данных?
Админ отправил 43 модуля обучения, охватывающих обратную разработку, дизассемблирование, декомпиляцию, локальную и удаленную отладку, а также анализ вредоносного ПО с использованием инструментов вроде Hex‑Rays и IDA Pro, что указывает на продолжающееся техническое развитие внутри сети.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
