Крипто-детектив ZachXBT обнаружил внутренний платежный сервер Северной Кореи, связанный с 390+ аккаунтами, журналами чатов и историями транзакций.
Сага о крипто-инфильтрации КНДР, часть III (Только за эту неделю)
Сага о секретных крипто-агентах Северной Кореи продолжается. Скрытая сеть хакеров, связанных с КНДР, медленно раскрывается в социальной сети X за последние дни, после того как атака на Drift Protocol 1 апреля на $285 миллионов была приписана UNC4736, северокорейской государственной хакерской группе.
В воскресенье исследователь безопасности Тейлор Монахан заявила, что северокорейские IT-специалисты тихо работали над более чем 40 DeFi-проектами в течение примерно семи лет. Также в воскресенье и понедельник несколько участников криптоиндустрии поделились видео и историями о том, как северокорейские IT-специалисты провалили «Тест Ким Чен Ына».
Теперь пришла очередь ZachXBT опубликовать свои находки, что он и сделал вчера в треде в социальной сети X. Извлеченные данные, которые ранее не публиковались, были переданы ему анонимным источником.
Извлечение данных стало возможным потому, что устройство одного из этих IT-работников из Корейской Народно-Демократической Республики (КНДР) было заражено инфостилером (вредоносным ПО, предназначенным для кражи конфиденциальной информации). Вредоносное ПО раскрыло журналы чатов IPMsg, сфабрикованные личности и подробную активность в браузере.
2/ У IT-работника КНДР было скомпрометировано устройство через инфостилер. Извлеченные данные включали журналы чатов IPMsg, поддельные личности и историю браузера.
Изучение журналов IPMsg выявило обсуждаемый сайт:
luckyguys[.]siteВнутренняя платформа платежных переводов,... pic.twitter.com/0rA1CxSmZx
— ZachXBT (@zachxbt) 8 апреля 2026 г.
Тред шаг за шагом показывает, как агенты IT-специалисты КНДР, часто выдающие себя за фрилансеров за границей, якобы получают оплату в криптовалюте и направляют ее обратно в каналы, связанные с режимом.
Разбор находок
Веб-сайт, который всплыл в результате извлечения данных, назывался luckyguys.site. По словам крипто-детектива, он, по-видимому, функционировал как внутренний хаб для платежных переводов: платформа для обмена сообщениями, похожая на Discord, где оперативники IT-специалистов КНДР отчитывались и сверяли свои криптоплатежи с начальством.
Хотите верьте, хотите нет, но пароль для входа по умолчанию на сайте был установлен на «123456». На момент извлечения данных десять аккаунтов все еще использовали его без изменений.
Пароль 123456. Источник. ZachXBT в X.
Список аккаунтов показывал роли, корейские имена, местоположения и внутренние групповые коды, которые соответствуют известным структурам IT-работников Северной Кореи. ZachXBT отметил, что три компании, упомянутые в данных, Sobaeksu, Saenal и Songkwang, уже подпадают под санкции OFAC.
Крипто-исследователь поделился видео, показывающим прямые сообщения от одного аккаунта WebMsg, «Rascal», с PC-1234 (учетной записью администратора сервера), в которых подробно описываются переводы платежей и использование поддельных личностей с декабря 2025 по апрель 2026 года. Каждый платеж в этих чатах маршрутизируется и завершается через PC-1234. В журналах также упоминаются адреса в Гонконге для выставления счетов и доставки товаров, хотя подлинность этих деталей еще предстоит подтвердить.
4/ Вот один из пользователей WebMsg ‘Rascal’ и их личные сообщения с PC-1234 с детализацией переводов платежей и использования мошеннических личностей с декабря 2025 по апрель 2026.
Все платежи обрабатываются и подтверждаются через учетную запись администратора сервера: PC-1234.
Адреса в Гон... pic.twitter.com/akyjmTbL5J
— ZachXBT (@zachxbt) 8 апреля 2026 г.
Находки становятся только интереснее по мере продвижения по треду. С конца ноября 2025 года на платежные кошельки поступило более $3,5 миллионов. Одна и та же схема переводов появляется снова и снова: пользователи либо отправляют криптовалюту напрямую с биржи или сервиса, либо выводят в фиат через китайские банковские счета с использованием таких платформ, как Payoneer.
После этого PC-1234 подтверждает получение средств и передает учетные данные для входа, которые могут быть для разных криптобирж или финтех-платежных приложений, в зависимости от конкретного пользователя.
5/ С конца ноября 2025 года на адреса платежных кошельков было получено более $3,5 млн.
Схема переводов была consistent across users:
Пользователи переводят криптовалюту, происходящую с биржи или сервиса, или конвертируют в фиат через китайские банковские счета с помощью платформ вроде Payoneer.... pic.twitter.com/IhbqW3eKKI
— ZachXBT (@zachxbt) 8 апреля 2026 г.
Реконструкция иерархии сети
Крипто-детектив реконструировал всю организационную иерархию сети, используя полный набор данных, и создал интерактивную версию этой организационной диаграммы.
IT-работники КНДР - Организационная структура. Источник: ZachXBT в X.
Когда исследователь проследил за внутренними платежными кошельками в ончейне, он обнаружил связи с несколькими уже атрибутированными кластерами IT-работников КНДР. Кошелек на основе Tron был заморожен Tether в декабре 2025 года.
Другие интересные находки показывают, что скомпрометированное устройство, которое принадлежало кому-то по имени «Джерри», все еще использовало Astrill VPN, а также несколько сфабрикованных личностей для подачи заявок на работу. Внутри внутреннего рабочего пространства Slack пользователь по имени «Нами» поделился постом в блоге о соискателе работы с дипфейком, связанном с IT-работниками КНДР. Один коллега спросил, не о них ли эта история, а другой напомнил группе, что им не разрешено публиковать внешние ссылки.
8/ На скомпрометированном устройстве Джерри показано использование Astrill VPN и различных поддельных личностей, подающих заявки на работу.
Во внутреннем Slack ‘Нами’ поделилась постом в блоге о соискателе работы с дипфейком от IT-работника КНДР. Второй пользователь спросил, не они ли это, а третий отметил, что им не разрешено... pic.twitter.com/7ZdGbX91WT
— ZachXBT (@zachxbt) 8 апреля 2026 г.
Джерри обменивался сообщениями с другим северокорейским IT-работником о планах украсть у проекта, используя нигерийский прокси для атаки на Arcano, игру на GalaChain. Была ли эта атака осуществлена или нет, неясно.
9/ Джерри активно обсуждал кражу у проекта с другим IT-работником КНДР через нигерийский прокси, нацеливаясь на Arcano, игру на GalaChain.
Однако остается неясным, материализовалась ли атака впоследствии. pic.twitter.com/p9QQLHbB91
— ZachXBT (@zachxbt) 8 апреля 2026 г.
Администратор также распределил 43 учебных материала по Hex-Rays/IDA Pro среди группы между ноябрем 2025 и февралем 2026 года. Эти сессии были сосредоточены на дизассемблировании, декомпиляции, как локальной, так и удаленной отладке, и ряде кибербезопасностных техник. Одна ссылка, shared 20 ноября, была прямо озаглавлена: «using-ida-debugger-to-unpack-an-hostile-pe-executable».
Заключительные мысли
Завершающее изображение ZachXBT для треда. Источник: ZachXBT в X.
ZachXBT пришел к выводу, что этот кластер IT-работников КНДР кажется относительно неискушенным по сравнению с такими группами, как AppleJeus и TraderTraitor, которые ведут гораздо более строгие операции и представляют гораздо большую системную угрозу для криптоиндустрии. Его earlier оценка, что северокорейские IT-работники collectively получают несколько миллионов долларов в месяц, подтверждается этим набором данных.
Сегодня исследователь опубликовал обновление, объясняя, что внутренний платежный портал КНДР был отключен после публикации его находок. Все данные были предварительно полностью захвачены и архивированы.
Update: Внутренний сайт платежей КНДР с тех пор был снят с эксплуатации после моего поста.
Однако все данные были заранее заархивированы. pic.twitter.com/9cRdopal5g
— ZachXBT (@zachxbt) 9 апреля 2026 г.
Криптовалюта теперь глубоко внедрена в геополитические теневые экономики. Ончейн-прозрачность работает в обе стороны для пользователей и противников.
Не будет удивительным, если рынки начнут закладывать более высокие затраты на compliance для CEX и OTC-площадок, или если возникнет больше трения для потоков стейблкоинов в санкционных регионах. Северокорейская сага, несомненно, повышает шансы на более агрессивное enforcement против трансграничных потоков, инструментов приватности и high-risk площадок.
Вчера Bitcoin отскочил и вернулся к отметке в $72k. На момент написания, BTC торгуется around $71k на дневном графике. Источник: BTCUSDT на Tradingview.
Обложка от Perplexity. График BTCUSDT от Tradingview.
