Crypto Investigator Exposes North Korea’s Secret $1 Million A Month Scheme

bitcoinistОпубліковано о 2026-04-09Востаннє оновлено о 2026-04-09

Анотація

Cryptocurrency investigator ZachXBT exposed a North Korean state-sponsored IT worker scheme generating over $1 million per month. An infostealer malware breach revealed an internal payment server (luckyguys[.]site) used by DPRK operatives to manage crypto payments and fake identities. The data included chat logs, transaction histories, and organizational details, showing over $3.5 million flowed through linked wallets since late 2025. Workers posed as freelancers, used fabricated identities, and targeted DeFi projects. The operation, though less sophisticated than other DPRK hacking groups, highlights the regime's use of crypto for revenue generation and sanctions evasion. The site was taken down after the report.

Crypto detective ZachXBT uncovered an internal North Korean payment server tied to 390+ accounts, chat logs, and transaction histories.

The DPRK Crypto-Infiltration Saga, Part III (From This Week Only)

The North Korean secret crypto-agents saga continues. The hidden network of North Korea–aligned crypto hackers have been slowly exposed on the social network X these past days, following the attribution of the April 1st $285 million attack on Drift Protocol to UNC4736, a North Korea–aligned, state‐sponsored hacking group.

On Sunday, security researcher Taylor Monahan claimed that North Korean IT workers have quietly worked inside more than 40 DeFi projects over roughly seven years. Also on Sunday and Monday, multiple crypto industry actors shared videos and stories of North Korean IT workers failing the “Kim Jong-Un Test”.

Now, it was ZachXBT turn to publish his findings, which he did yesterday on a thread on the social network X. The exfiltrated data, that hadn’t been publicly released before, was shared with him by an anonymous source.

The extraction of the data was possible because one of this IT workers workers from the Democratic People’s Republic of Korea (DPRK) had his device infected with an infostealer (malware designed specifically to steal sensitive information). The malware exposed IPMsg chat logs, fabricated identities, and detailed browser activity.

The thread walks through how DPRK IT agents, often posing as freelancers abroad, are allegedly getting paid in crypto and funneled back into regime‐linked channels.

A Breakdown Of The Findings

The website that surfaced from the data extraction was called luckyguys.site. According to the crypto detective, it appeared to function as an internal payment remittance hub: a Discord‐like messaging platform where DPRK IT operatives reported and reconciled their crypto payments with superiors.

Believe it or not, the site’s default login password was set to “123456”. At the moment of the data extraction, ten accounts were still using it unchanged.

The 123456 password. Source. ZachXBT on X.

The account roster showed roles, Korean names, locations, and internal group codes that align with known North Korean IT worker structures. ZachXBT highlighted that three of the companies referenced in the data, Sobaeksu, Saenal, and Songkwang, are already subject to OFAC sanctions.

The crypto investigator shared a video showing direct messages from one WebMsg account, “Rascal”, with PC‐1234 (the server admin account) that spell out payment transfers and the use of fake identities from December 2025 to April 2026. Every payment in these chats is routed and finalized via PC‐1234. The logs also reference Hong Kong addresses for billing and delivery of goods, although whether those details are genuine still needs to be confirmed.

The findings only grow more interesting as the thread advances. Since late November 2025, more than $3.5 million has flowed into the payment wallets. The same remittance pattern shows up again and again: users either send crypto in directly from an exchange or service, or off‐ramp into fiat via Chinese bank accounts using platforms such as Payoneer.

After that, PC‐1234 acknowledges the incoming funds and hands over login credentials, which can be for different crypto exchanges or fintech payment apps, depending on the specific user.

A Reconstruction Of The Network’s Hierarchy

The crypto detective reconstructed the network’s entire organizational hierarchy using the full dataset and made an interactive version of this org chart.

DPRK IT Workers - Organizational Structure. Source: ZachXBT on X.

When the investigator followed the internal payment wallets on‐chain, he found connections to several already‐attributed DPRK IT worker clusters. The Tron‐based wallet was frozen by Tether in December 2025.

Other interesting findings show that the compromised device, which belonged to someone called “Jerry”, still had Astrill VPN in use, along with multiple fabricated identities being used to apply for jobs. Inside an internal Slack workspace, a user named “Nami” shared a blog post about a deepfake job applicant linked to DPRK IT workers. One colleague asked if the story was about them, while another reminded the group they weren’t allowed to post external links.

Jerry exchanged messages with another North Korean IT worker about plans to steal from a project, using a Nigerian proxy to target Arcano, a GalaChain game. If that attack was ever carried out or not is unclear.

The admin also distributed 43 Hex-Rays/IDA Pro training materials to the group between November 2025 and February 2026. These sessions focused on disassembly, decompilation, both local and remote debugging, and a range of cybersecurity techniques. One link shared on November 20 was explicitly titled: “using-ida-debugger-to-unpack-an-hostile-pe-executable”.

Final Thoughts

ZachXBT closing image for the thread. Source: ZachXBT on X.

ZachXBT concluded that this DPRK IT worker cluster appears relatively unsophisticated compared with outfits like AppleJeus and TraderTraitor, which run much tighter operations and pose a far greater systemic threat to the crypto industry. His earlier estimated that North Korean IT workers collectively pull in several million dollars a month is reinforced by this dataset.

Today, the investigator posted an update explaining that the internal DPRK payment portal has been pulled offline following the publication of his findings. All of the data was fully captured and archived beforehand.

Crypto is now deeply embedded in geopolitical shadow economies. On‐chain transparency cuts both ways for users and adversaries.

It wouldn’t be surprising if markets start to price higher compliance costs for CEXs and OTC desks, or if there is more friction for stablecoin flows in sanctioned regions. The North Korean saga surely raises the odds of more aggressive enforcement against cross‐border flows, privacy tools, and high‐risk venues.

Yesterday, Bitcoin bounced back and reclaimed $72k. At the moment of writing, BTC trades for around $71k on the daily chart. Source: BTCUSDT on Tradingview.

Cover image from Perplexity. BTCUSDT chart from Tradingview.

Пов'язані питання

QWhat did crypto detective ZachXBT uncover about North Korea's crypto operations?

AZachXBT uncovered an internal North Korean payment server tied to over 390 accounts, chat logs, and transaction histories, revealing a scheme where DPRK IT workers pose as freelancers to earn and funnel crypto back to regime-linked channels.

QHow was the data about the DPRK IT worker network obtained?

AThe data was obtained because a DPRK IT worker's device was infected with an infostealer malware, which exposed IPMsg chat logs, fabricated identities, and detailed browser activity.

QWhat was the purpose of the website 'luckyguys.site' discovered in the investigation?

AThe website 'luckyguys.site' functioned as an internal payment remittance hub where DPRK IT operatives reported and reconciled their crypto payments with superiors, using a Discord-like messaging platform.

QHow much money was received by the payment wallets linked to the DPRK network since late November 2025?

ASince late November 2025, over $3.5 million was received across the payment wallet addresses linked to the DPRK IT worker network.

QWhat happened to the internal DPRK payment portal after ZachXBT published his findings?

AThe internal DPRK payment portal was taken offline following the publication of ZachXBT's findings, though all data had been fully captured and archived beforehand.

Пов'язані матеріали

Торгівля

Спот
Ф'ючерси

Популярні статті

Що таке $S$

Розуміння SPERO: Комплексний огляд Вступ до SPERO Оскільки ландшафт інновацій продовжує еволюціонувати, виникнення технологій web3 та криптовалютних проектів відіграє ключову роль у формуванні цифрового майбутнього. Один з проектів, який привернув увагу в цій динамічній сфері, — це SPERO, позначений як SPERO,$$s$. Ця стаття має на меті зібрати та представити детальну інформацію про SPERO, щоб допомогти ентузіастам та інвесторам зрозуміти його основи, цілі та інновації в рамках web3 та крипто-сектору. Що таке SPERO,$$s$? SPERO,$$s$ — це унікальний проект у криптопросторі, який прагне використати принципи децентралізації та технології блокчейн для створення екосистеми, що сприяє залученню, корисності та фінансовій інклюзії. Проект розроблений для полегшення взаємодії між користувачами новими способами, надаючи їм інноваційні фінансові рішення та послуги. У своїй основі SPERO,$$s$ прагне надати можливості індивідам, забезпечуючи інструменти та платформи, які покращують користувацький досвід у криптовалютному просторі. Це включає в себе можливість більш гнучких методів транзакцій, сприяння ініціативам, що підтримуються спільнотою, та створення шляхів для фінансових можливостей через децентралізовані додатки (dApps). Основна концепція SPERO,$$s$ обертається навколо інклюзивності, прагнучи зменшити розриви в традиційній фінансовій системі, використовуючи переваги технології блокчейн. Хто є творцем SPERO,$$s$? Особистість творця SPERO,$$s$ залишається дещо невідомою, оскільки є обмежені публічно доступні ресурси, що надають детальну інформацію про його засновників. Ця відсутність прозорості може бути наслідком зобов'язання проекту до децентралізації — етики, яку багато проектів web3 поділяють, ставлячи колективні внески вище за індивідуальне визнання. Зосереджуючи обговорення навколо спільноти та її колективних цілей, SPERO,$$s$ втілює суть наділення без виділення конкретних осіб. Таким чином, розуміння етики та місії SPERO є більш важливим, ніж ідентифікація єдиного творця. Хто є інвесторами SPERO,$$s$? SPERO,$$s$ підтримується різноманітними інвесторами, починаючи від венчурних капіталістів до ангельських інвесторів, які прагнуть сприяти інноваціям у крипто-секторі. Зосередження цих інвесторів зазвичай узгоджується з місією SPERO — пріоритет надається проектам, які обіцяють технологічний прогрес у суспільстві, фінансову інклюзію та децентралізоване управління. Ці інвесторські фонди зазвичай зацікавлені в проектах, які не лише пропонують інноваційні продукти, але й позитивно впливають на спільноту блокчейн та її екосистеми. Підтримка з боку цих інвесторів підкріплює SPERO,$$s$ як значного конкурента в швидко змінюваній сфері крипто-проектів. Як працює SPERO,$$s$? SPERO,$$s$ використовує багатогранну структуру, яка відрізняє його від традиційних криптовалютних проектів. Ось деякі ключові особливості, які підкреслюють його унікальність та інноваційність: Децентралізоване управління: SPERO,$$s$ інтегрує моделі децентралізованого управління, надаючи користувачам можливість активно брати участь у процесах прийняття рішень щодо майбутнього проекту. Цей підхід сприяє відчуттю власності та відповідальності серед членів спільноти. Корисність токена: SPERO,$$s$ використовує свій власний криптовалютний токен, розроблений для виконання різних функцій в екосистемі. Ці токени дозволяють здійснювати транзакції, отримувати винагороди та полегшувати послуги, що пропонуються на платформі, підвищуючи загальну залученість та корисність. Шарова архітектура: Технічна архітектура SPERO,$$s$ підтримує модульність та масштабованість, що дозволяє безперешкодно інтегрувати додаткові функції та додатки в міру розвитку проекту. Ця адаптивність є надзвичайно важливою для збереження актуальності в постійно змінюваному крипто-ландшафті. Залучення спільноти: Проект підкреслює ініціативи, що підтримуються спільнотою, використовуючи механізми, які стимулюють співпрацю та зворотний зв'язок. Підтримуючи сильну спільноту, SPERO,$$s$ може краще задовольняти потреби користувачів та адаптуватися до ринкових тенденцій. Фокус на інклюзію: Пропонуючи низькі комісії за транзакції та зручні інтерфейси, SPERO,$$s$ прагне залучити різноманітну базу користувачів, включаючи осіб, які раніше не брали участі в крипто-просторі. Це зобов'язання до інклюзії узгоджується з його загальною місією наділення через доступність. Хронологія SPERO,$$s$ Розуміння історії проекту надає важливі уявлення про його розвиток та етапи. Нижче наведено пропоновану хронологію, що відображає значні події в еволюції SPERO,$$s$: Етап концептуалізації та ідеації: Початкові ідеї, що стали основою SPERO,$$s$, були сформовані, тісно пов'язані з принципами децентралізації та фокусом на спільноті в індустрії блокчейн. Запуск білого паперу проекту: Після концептуального етапу був випущений комплексний білий папір, що детально описує бачення, цілі та технологічну інфраструктуру SPERO,$$s$, щоб залучити інтерес та зворотний зв'язок від спільноти. Створення спільноти та ранні залучення: Активні зусилля були спрямовані на створення спільноти ранніх прихильників та потенційних інвесторів, що полегшило обговорення цілей проекту та отримання підтримки. Подія генерації токенів: SPERO,$$s$ провів подію генерації токенів (TGE) для розподілу своїх рідних токенів серед ранніх прихильників та встановлення початкової ліквідності в екосистемі. Запуск початкового dApp: Перший децентралізований додаток (dApp), пов'язаний з SPERO,$$s$, став доступним, дозволяючи користувачам взаємодіяти з основними функціями платформи. Постійний розвиток та партнерства: Безперервні оновлення та вдосконалення пропозицій проекту, включаючи стратегічні партнерства з іншими учасниками блокчейн-простору, сформували SPERO,$$s$ у конкурентоспроможного та еволюціонуючого гравця на крипто-ринку. Висновок SPERO,$$s$ є свідченням потенціалу web3 та криптовалют для революціонізації фінансових систем та наділення індивідів. Завдяки зобов'язанню до децентралізованого управління, залучення спільноти та інноваційно спроектованих функцій, він прокладає шлях до більш інклюзивного фінансового ландшафту. Як і з будь-якими інвестиціями в швидко змінюваному крипто-просторі, потенційним інвесторам та користувачам рекомендується ретельно досліджувати та обдумано взаємодіяти з поточними подіями в SPERO,$$s$. Проект демонструє інноваційний дух крипто-індустрії, запрошуючи до подальшого дослідження його численних можливостей. Хоча подорож SPERO,$$s$ ще триває, його основні принципи можуть справді вплинути на майбутнє того, як ми взаємодіємо з технологією, фінансами та один з одним у взаємопов'язаних цифрових екосистемах.

73 переглядів усьогоОпубліковано 2024.12.17Оновлено 2024.12.17

Що таке $S$

Що таке AGENT S

Агент S: Майбутнє автономної взаємодії в Web3 Вступ У постійно змінюваному ландшафті Web3 та криптовалюти інновації постійно переосмислюють, як люди взаємодіють з цифровими платформами. Один з таких новаторських проектів, Агент S, обіцяє революціонізувати взаємодію людини з комп'ютером через свою відкриту агентну структуру. Прокладаючи шлях для автономних взаємодій, Агент S прагне спростити складні завдання, пропонуючи трансформаційні застосування в штучному інтелекті (ШІ). Це детальне дослідження заглиблюється в складності проекту, його унікальні особливості та наслідки для сфери криптовалюти. Що таке Агент S? Агент S є революційною відкритою агентною структурою, спеціально розробленою для вирішення трьох основних викликів в автоматизації комп'ютерних завдань: Набуття специфічних знань у галузі: Структура інтелектуально навчається з різних зовнішніх джерел знань та внутрішнього досвіду. Цей подвійний підхід дозволяє їй створити багатий репозиторій специфічних знань у галузі, покращуючи її продуктивність у виконанні завдань. Планування на довгих горизонтах завдань: Агент S використовує планування з підкріпленням досвіду, стратегічний підхід, який полегшує ефективний розподіл та виконання складних завдань. Ця функція значно підвищує її здатність ефективно та результативно управляти кількома підзавданнями. Обробка динамічних, неоднорідних інтерфейсів: Проект представляє Інтерфейс Агент-Комп'ютер (ACI), інноваційне рішення, яке покращує взаємодію між агентами та користувачами. Використовуючи багатомодальні великі мовні моделі (MLLMs), Агент S може безперешкодно орієнтуватися та маніпулювати різноманітними графічними інтерфейсами користувача. Завдяки цим новаторським функціям Агент S надає надійну структуру, яка вирішує складнощі, пов'язані з автоматизацією людської взаємодії з машинами, прокладаючи шлях для численних застосувань у ШІ та за його межами. Хто є творцем Агент S? Хоча концепція Агент S є фундаментально новаторською, конкретна інформація про його творця залишається невідомою. Творець наразі невідомий, що підкреслює або початкову стадію проекту, або стратегічний вибір зберегти засновників у таємниці. Незважаючи на анонімність, акцент залишається на можливостях та потенціалі структури. Хто є інвесторами Агент S? Оскільки Агент S є відносно новим у криптографічній екосистемі, детальна інформація про його інвесторів та фінансових спонсорів не задокументована. Відсутність публічно доступних відомостей про інвестиційні фонди або організації, що підтримують проект, викликає питання щодо його фінансової структури та дорожньої карти розвитку. Розуміння підтримки є критично важливим для оцінки стійкості проекту та потенційного впливу на ринок. Як працює Агент S? В основі Агент S лежить передова технологія, яка дозволяє йому ефективно функціонувати в різних умовах. Його операційна модель побудована навколо кількох ключових функцій: Взаємодія з комп'ютером, подібна до людської: Структура пропонує розширене планування ШІ, прагнучи зробити взаємодії з комп'ютерами більш інтуїтивними. Імітуючи людську поведінку при виконанні завдань, вона обіцяє підвищити досвід користувачів. Наративна пам'ять: Використовується для використання високорівневого досвіду, Агент S використовує наративну пам'ять для відстеження історій завдань, тим самим покращуючи свої процеси прийняття рішень. Епізодична пам'ять: Ця функція надає користувачам покрокові інструкції, дозволяючи структурі пропонувати контекстуальну підтримку в міру виконання завдань. Підтримка OpenACI: Завдяки можливості працювати локально, Агент S дозволяє користувачам зберігати контроль над своїми взаємодіями та робочими процесами, узгоджуючи з децентралізованою етикою Web3. Легка інтеграція з зовнішніми API: Його універсальність і сумісність з різними платформами ШІ забезпечують те, що Агент S може безперешкодно вписатися в існуючі технологічні екосистеми, роблячи його привабливим вибором для розробників та організацій. Ці функціональні можливості колективно сприяють унікальному положенню Агент S у крипто-просторі, оскільки він автоматизує складні, багатоступеневі завдання з мінімальним втручанням людини. У міру розвитку проекту його потенційні застосування в Web3 можуть переосмислити, як відбуваються цифрові взаємодії. Хронологія Агент S Розробка та етапи Агент S можуть бути узагальнені в хронології, яка підкреслює його значні події: 27 вересня 2024 року: Концепція Агент S була представлена в комплексній науковій статті під назвою “Відкрита агентна структура, яка використовує комп'ютери як людина”, що демонструє основи проекту. 10 жовтня 2024 року: Наукова стаття була опублікована на arXiv, пропонуючи детальне дослідження структури та її оцінки продуктивності на основі бенчмарку OSWorld. 12 жовтня 2024 року: Було випущено відеопрезентацію, що надає візуальне уявлення про можливості та особливості Агент S, ще більше залучаючи потенційних користувачів та інвесторів. Ці маркери в хронології не лише ілюструють прогрес Агент S, але й вказують на його прихильність до прозорості та залучення громади. Ключові моменти про Агент S У міру розвитку структури Агент S кілька ключових характеристик виділяються, підкреслюючи її новаторський характер та потенціал: Інноваційна структура: Розроблена для забезпечення інтуїтивного використання комп'ютерів, подібного до людської взаємодії, Агент S пропонує новий підхід до автоматизації завдань. Автономна взаємодія: Здатність автономно взаємодіяти з комп'ютерами через GUI означає стрибок до більш інтелектуальних та ефективних обчислювальних рішень. Автоматизація складних завдань: Завдяки своїй надійній методології він може автоматизувати складні, багатоступеневі завдання, роблячи процеси швидшими та менш схильними до помилок. Безперервне вдосконалення: Механізми навчання дозволяють Агенту S покращуватися на основі минулого досвіду, постійно підвищуючи свою продуктивність та ефективність. Універсальність: Його адаптивність до різних операційних середовищ, таких як OSWorld та WindowsAgentArena, забезпечує його здатність служити широкому спектру застосувань. Оскільки Агент S займає своє місце в ландшафті Web3 та криптовалюти, його потенціал покращити можливості взаємодії та автоматизувати процеси означає значний прогрес у технологіях ШІ. Завдяки своїй інноваційній структурі Агент S є прикладом майбутнього цифрових взаємодій, обіцяючи більш безперешкодний та ефективний досвід для користувачів у різних галузях. Висновок Агент S представляє собою сміливий крок вперед у поєднанні ШІ та Web3, з можливістю переосмислити, як ми взаємодіємо з технологією. Хоча проект все ще на ранніх стадіях, можливості для його застосування є величезними та переконливими. Завдяки своїй комплексній структурі, що вирішує критичні виклики, Агент S прагне вивести автономні взаємодії на передній план цифрового досвіду. У міру того, як ми заглиблюємося в сфери криптовалюти та децентралізації, проекти, подібні до Агент S, безсумнівно, відіграватимуть ключову роль у формуванні майбутнього технологій та співпраці людини з комп'ютером.

553 переглядів усьогоОпубліковано 2025.01.14Оновлено 2025.01.14

Що таке AGENT S

Як купити S

Ласкаво просимо до HTX.com! Ми зробили покупку Sonic (S) простою та зручною. Дотримуйтесь нашої покрокової інструкції, щоб розпочати свою криптовалютну подорож.Крок 1: Створіть обліковий запис на HTXВикористовуйте свою електронну пошту або номер телефону, щоб зареєструвати обліковий запис на HTX безплатно. Пройдіть безпроблемну реєстрацію й отримайте доступ до всіх функцій.ЗареєструватисьКрок 2: Перейдіть до розділу Купити крипту і виберіть спосіб оплатиКредитна/дебетова картка: використовуйте вашу картку Visa або Mastercard, щоб миттєво купити Sonic (S).Баланс: використовуйте кошти з балансу вашого рахунку HTX для безперешкодної торгівлі.Треті особи: ми додали популярні способи оплати, такі як Google Pay та Apple Pay, щоб підвищити зручність.P2P: Торгуйте безпосередньо з іншими користувачами на HTX.Позабіржова торгівля (OTC): ми пропонуємо індивідуальні послуги та конкурентні обмінні курси для трейдерів.Крок 3: Зберігайте свої Sonic (S)Після придбання Sonic (S) збережіть його у своєму обліковому записі на HTX. Крім того, ви можете відправити його в інше місце за допомогою блокчейн-переказу або використовувати його для торгівлі іншими криптовалютами.Крок 4: Торгівля Sonic (S)Легко торгуйте Sonic (S) на спотовому ринку HTX. Просто увійдіть до свого облікового запису, виберіть торгову пару, укладайте угоди та спостерігайте за ними в режимі реального часу. Ми пропонуємо зручний досвід як для початківців, так і для досвідчених трейдерів.

1.3k переглядів усьогоОпубліковано 2025.01.15Оновлено 2025.03.21

Як купити S

Обговорення

Ласкаво просимо до спільноти HTX. Тут ви можете бути в курсі останніх подій розвитку платформи та отримати доступ до професійної ринкової інформації. Нижче представлені думки користувачів щодо ціни S (S).

活动图片