Злам мережі IT КНДР виявляє шахрайську схему на $1 млн/місяць

• ІТ-працівники КНДР керували криптовалютною шахрайською мережею на $1 млн на місяць зі структурованими каналами.
• Слабкі паролі та компанії зі списку OFAC виявили серйозні операційні вразливості.
• Журнали навчання розкривають організований зворотний інжиніринг та шахрайство з особистими даними задля отримання доходу.

Нещодавнє розслідування блокчейн-аналітика ZachXBT виявило масштабну внутрішню витоку даних, пов'язану з північнокорейськими ІТ-працівниками. Витікла інформація розкрила мережу з 390 облікових записів, журналів чатів та криптовалютних транзакцій. 

Крім того, результати показують координовану систему, яка обробляла близько $1 млн на місяць через підроблені особи та фінансове шахрайство. Відповідно, витік даних надає рідкісну можливість побачити, як ці операції функціонують за лаштунками.

ZachXBT повідомив, що неназване джерело надало дані після компрометації пристрою, пов'язаного з ІТ-працівником КНДР. Зараження відбулося через інфостілер, який витягнув журнали чатів IPMsg, історію браузера та записи особистих даних. 

Додатково, журнали виявили платформу під назвою luckyguys[.]site, яка виконувала роль внутрішнього комунікаційного центру. Ця система функціонувала як приватний сервіс обміну повідомленнями для звітності про платежі та координації діяльності.

Платіжна інфраструктура та операційний процес

Дані показують структурований платіжний канал, який з'єднує криптовалютні потоки з конвертацією у фіатні валюти. Користувачі переказували кошти з бірж або конвертували активи через китайські банківські рахунки та фінтех-платформи, такі як Payoneer. Таким чином, мережа підтримувала стабільну ліквідність через кілька каналів.

Важливо, що внутрішній сервер використовував слабкий стандартний пароль, 123456, для кількох облікових записів. Ця недоробка виявила серйозні прогалини в безпеці системи. 

Платформа включала ролі користувачів, корейські імена та дані про місцезнаходження, які відповідали відомим структурам ІТ-працівників КНДР. Більше того, три компанії, пов'язані з мережею, з'явилися у санкційних списках OFAC, включаючи Sobaeksu, Saenal та Songkwang.

ZachXBT виявив понад $3,5 млн у транзакціях, що надходили на пов'язані адреси гаманців з кінця листопада 2025 року. Послідовна схема включала централізоване підтвердження обліковим записом адміністратора з позначкою PC-1234. Цей обліковий запис перевіряв платежі та розподіляв облікові дані для бірж та фінтех-платформ.

Додатково, один Tron-гаманець, пов'язаний з операцією, був заморожений Tether у грудні 2025 року. Ця дія підкреслила зростаючий тиск правоохоронних органів на незаконну криптовалютну діяльність, пов'язану з державними групами.

Операційна глибина та навчальна діяльність

Витік також розкрив внутрішні обговорення та навчальні матеріали. Внутрішній Slack-канал показав 33 ІТ-працівників КНДР, які одночасно спілкувалися через IPMsg. Більше того, адміністратори розповсюдили 43 навчальні модулі з інструментами, такими як IDA Pro та Hex-Rays.

Ці матеріали охоплювали зворотний інжиніринг, налагодження та техніки експлуатації програмного забезпечення. Відповідно, група продемонструвала структуроване навчання, незважаючи на обмежену вишуканість порівняно з просунутими групами, такими як AppleJeus або TraderTraitor. Однак, масштаб операцій все ще генерував значні потоки доходу.

Витікли журнали також посилалися на спроби використання підроблених особистих даних та додатків deepfake для проникнення на робочі місця. Додатково, деякі розмови охоплювали націлювання на ігрові платформи та фінансові послуги.

Пов'язане: SBI Ripple Asia завершила свою платформу випуску токенів на XRP Ledger (XRPL)