Detektif kripto ZachXBT mengungkap server pembayaran internal Korea Utara yang terhubung dengan 390+ akun, log obrolan, dan riwayat transaksi.
Kisah Infiltrasi Crypto-Korea Utara, Bagian III (Hanya Dari Minggu Ini)
Kisah agen rahasia crypto Korea Utara berlanjut. Jaringan tersembunyi peretas crypto yang beraliansi dengan Korea Utara telah perlahan terungkap di jejaring sosial X beberapa hari terakhir, setelah serangan $285 juta pada 1 April terhadap Drift Protocol diatribusikan ke UNC4736, kelompok peretas yang beraliansi dengan Korea Utara dan didukung negara.
Pada hari Minggu, peneliti keamanan Taylor Monahan mengklaim bahwa pekerja TI Korea Utara telah diam-diam bekerja di lebih dari 40 proyek DeFi selama kurang lebih tujuh tahun. Juga pada hari Minggu dan Senin, beberapa pelaku industri crypto membagikan video dan cerita tentang pekerja TI Korea Utara yang gagal dalam "Tes Kim Jong-Un".
Sekarang, giliran ZachXBT untuk mempublikasikan temuan-temuannya, yang dia lakukan kemarin di sebuah utas di jejaring sosial X. Data yang dieksfiltrasi, yang belum pernah dirilis secara publik sebelumnya, dibagikan kepadanya oleh sumber anonim.
Pengekstrakan data dimungkinkan karena salah satu pekerja TI ini dari Republik Rakyat Demokratik Korea (DPRK) perangkatnya terinfeksi infostealer (malware yang dirancang khusus untuk mencuri informasi sensitif). Malware tersebut mengekspos log obrolan IPMsg, identitas palsu, dan aktivitas browser yang rinci.
2/ Seorang pekerja TI DPRK perangkatnya dikompromikan via infostealer. Data yang diekstrak termasuk log obrolan IPMsg, identitas palsu, dan riwayat browser.
Menggali log IPMsg mengungkap situs ini sedang dibahas:
luckyguys[.]siteSebuah platform remitansi pembayaran internal,... pic.twitter.com/0rA1CxSmZx
— ZachXBT (@zachxbt) April 8, 2026
Utas tersebut menjelaskan bagaimana agen TI DPRK, yang sering menyamar sebagai freelancer di luar negeri, diduga dibayar dengan crypto dan disalurkan kembali ke saluran-saluran yang terhubung dengan rezim.
Rincian Temuan
Situs web yang muncul dari ekstraksi data disebut luckyguys.site. Menurut detektif crypto, situs tersebut tampaknya berfungsi sebagai hub remitansi pembayaran internal: platform pesan seperti Discord di mana operator TI DPRK melaporkan dan merekonsiliasi pembayaran crypto mereka dengan atasan.
Percaya atau tidak, kata sandi login default situs diatur ke "123456". Pada saat ekstraksi data, sepuluh akun masih menggunakannya tanpa perubahan.
Kata sandi 123456. Sumber. ZachXBT di X.
Daftar akun menunjukkan peran, nama Korea, lokasi, dan kode grup internal yang selaras dengan struktur pekerja TI Korea Utara yang dikenal. ZachXBT menyoroti bahwa tiga perusahaan yang dirujuk dalam data, Sobaeksu, Saenal, dan Songkwang, sudah menjadi sasaran sanksi OFAC.
Penyelidik crypto membagikan video yang menunjukkan pesan langsung dari satu akun WebMsg, "Rascal", dengan PC-1234 (akun admin server) yang merinci transfer pembayaran dan penggunaan identitas palsu dari Desember 2025 hingga April 2026. Setiap pembayaran dalam obrolan ini dirutekan dan diselesaikan via PC-1234. Log tersebut juga merujuk alamat-alamat Hong Kong untuk penagihan dan pengiriman barang, meskipun apakah detail tersebut asli masih perlu dikonfirmasi.
4/ Berikut adalah salah satu pengguna WebMsg 'Rascal' dan DM mereka dengan PC-1234 yang merinci transfer pembayaran dan penggunaan identitas penipuan dari Desember 2025 hingga April 2026.
Semua pembayaran diproses dan dikonfirmasi melalui akun admin server: PC-1234.
Alamat di Hong... pic.twitter.com/akyjmTbL5J
— ZachXBT (@zachxbt) April 8, 2026
Temuan menjadi semakin menarik seiring utas berlanjut. Sejak akhir November 2025, lebih dari $3,5 juta telah mengalir ke dompet pembayaran. Pola remitansi yang sama muncul berulang kali: pengguna mengirim crypto langsung dari bursa atau layanan, atau meng-off-ramp ke fiat melalui rekening bank China menggunakan platform seperti Payoneer.
Setelah itu, PC-1234 mengakui dana yang masuk dan menyerahkan kredensial login, yang bisa untuk berbagai bursa crypto atau aplikasi pembayaran fintech, tergantung pada pengguna tertentu.
5/ Sejak akhir November 2025 $3,5M+ diterima di seluruh alamat dompet pembayaran.
Pola remitansi konsisten di semua pengguna:
Pengguna mentransfer crypto yang berasal dari bursa atau layanan, atau mengonversi ke fiat melalui rekening bank China melalui platform seperti Payoneer.... pic.twitter.com/IhbqW3eKKI
— ZachXBT (@zachxbt) April 8, 2026
Rekonstruksi Hierarki Jaringan
Detektif crypto merekonstruksi seluruh hierarki organisasi jaringan menggunakan dataset lengkap dan membuat versi interaktif dari bagan organisasi ini.
Pekerja TI DPRK - Struktur Organisasi. Sumber: ZachXBT di X.
Ketika penyelidik melacak dompet pembayaran internal on-chain, dia menemukan koneksi ke beberapa kluster pekerja TI DPRK yang sudah diatribusikan. Dompet berbasis Tron dibekukan oleh Tether pada Desember 2025.
Temuan menarik lainnya menunjukkan bahwa perangkat yang dikompromikan, yang dimiliki seseorang bernama "Jerry", masih menggunakan Astrill VPN, bersama dengan berbagai identitas palsu yang digunakan untuk melamar pekerjaan. Di dalam ruang kerja Slack internal, seorang pengguna bernama "Nami" membagikan postingan blog tentang pelamar kerja deepfake yang terhubung dengan pekerja TI DPRK. Seorang rekan bertanya apakah cerita itu tentang mereka, sementara yang lain mengingatkan grup bahwa mereka tidak diizinkan memposting tautan eksternal.
8/ Perangkat Jerry yang dikompromikan menunjukkan penggunaan Astrill VPN dan berbagai persona palsu yang melamar pekerjaan.
Sebuah Slack internal menunjukkan 'Nami' membagikan postingan blog tentang pelamar kerja deepfake pekerja TI DPRK. Pengguna kedua bertanya apakah itu mereka, sementara yang ketiga mencatat mereka tidak diizinkan... pic.twitter.com/7ZdGbX91WT
— ZachXBT (@zachxbt) April 8, 2026
Jerry bertukar pesan dengan pekerja TI Korea Utara lainnya tentang rencana mencuri dari sebuah proyek, menggunakan proxy Nigeria untuk menargetkan Arcano, sebuah game GalaChain. Apakah serangan itu pernah dilakukan atau tidak tidak jelas.
9/ Jerry aktif membahas mencuri dari sebuah proyek dengan pekerja TI DPRK lainnya via proxy Nigeria yang menargetkan Arcano, sebuah game GalaChain.
Namun, tetap tidak jelas apakah serangan kemudian terwujud. pic.twitter.com/p9QQLHbB91
— ZachXBT (@zachxbt) April 8, 2026
Admin juga mendistribusikan 43 materi pelatihan Hex-Rays/IDA Pro ke grup antara November 2025 dan Februari 2026. Sesi-sesi ini berfokus pada disassembly, decompilation, debugging lokal dan remote, dan berbagai teknik cybersecurity. Satu tautan yang dibagikan pada 20 November secara eksplisit berjudul: "using-ida-debugger-to-unpack-an-hostile-pe-executable".
Pemikiran Akhir
Gambar penutup ZachXBT untuk utas. Sumber: ZachXBT di X.
ZachXBT menyimpulkan bahwa kluster pekerja TI DPRK ini tampak relatif tidak canggih dibandingkan dengan kelompok seperti AppleJeus dan TraderTraitor, yang menjalankan operasi yang jauh lebih ketat dan menimbulkan ancaman sistemik yang jauh lebih besar bagi industri crypto. Perkiraannya sebelumnya bahwa pekerja TI Korea Utara secara kolektif menghasilkan beberapa juta dolar per bulan diperkuat oleh dataset ini.
Hari ini, penyelidik memposting pembaruan yang menjelaskan bahwa portal pembayaran internal DPRK telah ditutup setelah publikasi temuan-temuannya. Semua data telah sepenuhnya direkam dan diarsipkan sebelumnya.
Pembaruan: Situs pembayaran internal DPRK sejak itu telah ditutup setelah postingan saya.
Namun semua data telah diarsipkan sebelumnya. pic.twitter.com/9cRdopal5g
— ZachXBT (@zachxbt) April 9, 2026
Crypto sekarang tertanam dalam dalam ekonomi bayangan geopolitik. Transparansi on-chain memotong dua arah bagi pengguna dan musuh.
Tidak akan mengejutkan jika pasar mulai menetapkan biaya kepatuhan yang lebih tinggi untuk CEX dan OTC desk, atau jika ada lebih banyak gesekan untuk arus stablecoin di wilayah yang disanksi. Kisah Korea Utara pasti meningkatkan kemungkinan penegakan yang lebih agresif terhadap arus lintas batas, alat privasi, dan tempat berisiko tinggi.
Kemarin, Bitcoin bangkit kembali dan merebut kembali $72k. Pada saat penulisan, BTC diperdagangkan sekitar $71k pada grafik harian. Sumber: BTCUSDT di Tradingview.
Gambar sampul dari Perplexity. Grafik BTCUSDT dari Tradingview.
