اختراق شبكة تكنولوجيا المعلومات لكوريا الشمالية يكشف عن مخطط احتيال بقيمة مليون دولار شهرياً

• عمال تكنولوجيا المعلومات في كوريا الشمالية أداروا شبكة احتيال كريبتو بقيمة مليون دولار شهرياً بخطوط منظمة.
• كلمات المرور الضعيفة والشركات المدرجة في قائمة OFAC كشفت عن ثغرات تشغيلية كبيرة.
• سجلات التدريب تكشف عن هندسة عكسية منظمة واحتيال في الهوية لتحقيق الإيرادات.

كشف تحقيق حديث أجراه محلل البلوكتشين ZachXBT عن اختراق داخلي واسع النطاق مرتبط بعمال تكنولوجيا المعلومات الكوريين الشماليين. كشفت البيانات المسربة عن شبكة من 390 حساباً وسجلات دردشة ومعاملات كريبتو. 

علاوة على ذلك، تكشف النتائج عن نظام منسق عالج حوالي مليون دولار شهرياً من خلال هويات احتيالية وخداع مالي. وبالتالي، يوفر الاختراق رؤية نادرة حول كيفية عمل هذه العمليات خلف الكواليس.

أفاد ZachXBT أن مصدراً مجهولاً قدم البيانات بعد اختراق جهاز مرتبط بعامل تكنولوجيا معلومات كوري شمالي. نبعت العدوى من برنامج سرقة معلومات، استخرج سجلات دردشة IPMsg وسجل المتصفح وسجلات الهوية. 

بالإضافة إلى ذلك، كشفت السجلات عن منصة تسمى luckyguys[.]site، والتي عملت كمركز اتصال داخلي. عمل هذا النظام مثل خدمة مراسلة خاصة للإبلاغ عن المدفوعات وتنسيق النشاط.

البنية التحتية للدفع وتدفق العمليات

تُظهر البيانات خط دفع منظم يربط تدفقات الكريبتو بتحويل العملات الورقية. قام المستخدمون بتحويل الأموال من البورصات أو تحويل الأصول من خلال حسابات بنكية صينية ومنصات تكنولوجيا مالية مثل Payoneer. وبالتالي، حافظت الشبكة على سيولة ثابتة عبر قنوات متعددة.

بشكل ملحوظ، استخدم الخادم الداخلي كلمة مرور افتراضية ضعيفة، 123456، عبر عدة حسابات. كشف هذا الإغفال عن فجوات أمنية خطيرة داخل النظام. 

تضمنت المنصة أدوار المستخدمين والأسماء الكورية وبيانات الموقع، والتي توافقت مع هياكل عمال تكنولوجيا المعلومات الكوريين الشماليين المعروفة. علاوة على ذلك، ظهرت ثلاث شركات مرتبطة بالشبكة في قوائم عقوبات OFAC، بما في ذلك Sobaeksu وSaenal وSongkwang.

حدد ZachXBT أكثر من 3.5 مليون دولار في المعاملات المتدفقة إلى عناوين المحفظة المرتبطة منذ أواخر نوفمبر 2025. تضمن النمط المتسق تأكيداً مركزياً من قبل حساب مسؤول يحمل اسم PC-1234. تحقق هذا الحساب من المدفوعات ووزع بيانات الاعتماد للبورصات ومنصات التكنولوجيا المالية.

بالإضافة إلى ذلك، واجهت محفظة Tron واحدة مرتبطة بالعملية تجميداً من قبل Tether في ديسمبر 2025. سلط هذا الإجراء الضوء على زيادة ضغط الإنفاذ على نشاط الكريبتو غير المشروع المرتبط بمجموعات مدعومة من الدولة.

عمق العمليات وأنشطة التدريب

كشف الاختراق أيضاً عن مناقشات داخلية ومواد تدريبية. أظهرت قناة Slack داخلية 33 عامل تكنولوجيا معلومات كوري شمالي يتواصلون في وقت واحد عبر IPMsg. علاوة على ذلك، وزع المسؤولون 43 وحدة تدريبية على أدوات مثل IDA Pro وHex-Rays.

غطت هذه المواد تقنيات الهندسة العكسية وإزالة الأخطاء واستغلال البرامج. وبالتالي، أظهرت المجموعة تدريباً منظماً على الرغم من التطور المحدود مقارنة بالمجموعات المتقدمة مثل AppleJeus أو TraderTraitor. ومع ذلك، لا يزال حجم العمليات يولد تدفقات إيرادات كبيرة.

أشارت السجلات المسربة أيضاً إلى محاولات استخدام هويات مزيفة وتطبيقات التزييف العميق للتسلل إلى الوظائف. بالإضافة إلى ذلك، غطت بعض المحادثات استهداف منصات الألعاب والخدمات المالية.

ذات صلة: أكملت SBI Ripple Asia منصة إصدار التوكن الخاصة بها على XRP Ledger (XRPL)