Взлом IT-сети КНДР раскрыл схему мошенничества на 1 000 000 $/месяц

• IT-специалисты КНДР управляли криптомошеннической сетью с оборотом 1 000 000$ в месяц со структурированными каналами.
• Слабые пароли и компании из списка OFAC выявили серьезные операционные уязвимости.
• Журналы обучения раскрывают организованный реверс-инжиниринг и мошенничество с личными данными для получения дохода.

Недавнее расследование блокчейн-аналитика ZachXBT выявило масштабную внутреннюю утечку, связанную с IT-специалистами Северной Кореи. Утекшие данные раскрыли сеть из 390 учетных записей, журналов чатов и криптовалютных транзакций. 

Кроме того, результаты показывают скоординированную систему, которая обрабатывала около 1 000 000$ в месяц через мошеннические личности и финансовый обман. Следовательно, утечка обеспечивает редкую видимость того, как эти операции функционируют за кулисами.

ZachXBT сообщил, что неназванный источник предоставил данные после компрометации устройства, связанного с IT-специалистом КНДР. Заражение произошло из-за инфостилера, который извлек журналы чатов IPMsg, историю браузера и записи личных данных. 

Кроме того, журналы выявили платформу под названием luckyguys[.]site, которая служила внутренним коммуникационным узлом. Эта система функционировала как частный сервис обмена сообщениями для отчетов о платежах и координации деятельности.

Платежная инфраструктура и операционный процесс

Данные показывают структурированный платежный канал, который связывает криптовалютные потоки с конвертацией в фиат. Пользователи переводили средства с бирж или конвертировали активы через китайские банковские счета и финтех-платформы, такие как Payoneer. Таким образом, сеть поддерживала стабильную ликвидность по нескольким каналам.

Примечательно, что внутренний сервер использовал слабый пароль по умолчанию, 123456, для нескольких учетных записей. Этот недосмотр выявил серьезные пробелы в безопасности системы. 

Платформа включала роли пользователей, корейские имена и данные о местоположении, которые совпадали с известными структурами IT-специалистов КНДР. Более того, три компании, связанные с сетью, появились в санкционных списках OFAC, включая Sobaeksu, Saenal и Songkwang.

ZachXBT выявил более 3 500 000$ в транзакциях, поступающих на связанные адреса кошельков с конца ноября 2025 года. Последовательная схема включала централизованное подтверждение административной учетной записью с меткой PC-1234. Эта учетная запись подтверждала платежи и распределяла учетные данные для бирж и финтех-платформ.

Кроме того, один кошелек Tron, связанный с операцией, был заморожен Tether в декабре 2025 года. Это действие подчеркнуло растущее давление правоприменения на незаконную криптовалютную деятельность, связанную с группами, поддерживаемыми государством.

Операционная глубина и учебная деятельность

Утечка также раскрыла внутренние обсуждения и учебные материалы. Внутренний канал Slack показал 33 IT-специалистов КНДР, одновременно общающихся через IPMsg. Более того, администраторы распространили 43 учебных модуля по инструментам, таким как IDA Pro и Hex-Rays.

Эти материалы охватывали реверс-инжиниринг, отладку и методы эксплуатации программного обеспечения. Следовательно, группа продемонстрировала структурированное обучение, несмотря на ограниченную сложность по сравнению с продвинутыми группами, такими как AppleJeus или TraderTraitor. Однако масштаб операций все еще генерировал значительные потоки доходов.

Утекшие журналы также ссылались на попытки использования поддельных личностей и приложений deepfake для проникновения на работу. Кроме того, некоторые разговоры касались нацеливания на игровые платформы и финансовые услуги.

Связанное: SBI Ripple Asia завершила свою платформу выпуска токенов на XRP Ledger (XRPL)