- DPRK IT-töötajad juhtisid struktureeritud torujuhtmetega kuusaselt 1 miljoni USA dollari suuruse kriptoraha-petuste võrku.
- Nõrgad paroolid ja OFAC-i sanktsiooninimekirjas olevad ettevõtted paljastasid olulised operatsioonilised nõrkused.
- Koolituslogid paljastasid korraldatud tagurpidi inseneritöö ja identiteedipetuste teostamist tulu saamiseks.
Viimase uurimuse käigus avastas blockchain-analüütik ZachXBT suuremahulise sisemise rünnaku, mis oli seotud Põhja-Korea IT-töötajatega. Leke andmed paljastasid 390 kontoga, vestluse logidega ja krüptoraha-tehingutega võrgu.
Lisaks näitasid leitud andmed koordineeritud süsteemi, mis töötleb kuusaselt umbes 1 miljonit USA dollarit petusidentiteetide ja rahaliste pettustega. Seetõttu annab see rünnak harva esineva ülevaate sellest, kuidas need tegevused tagantjärele toimivad.
ZachXBT teatas, et anonüümne allikas andis andmed pärast DPRK IT-töötaja seadmega seotud seadme kompromitteerimist. Nakkus pärines infokasutajast (infostealer), mis ekstraktis IPMsg-vestluse logid, brauseri ajalugu ja identiteedikirjed.
Lisaks paljastasid logid platvormi nimega luckyguys[.]site, mis tegutses sisemise suhtluse keskusena. See süsteem töötas nagu privaatne sõnumivahetusplatvorm maksete aruandmiseks ja tegevuste koordineerimiseks.
Makseinfrastruktuur ja operatsiooniline voog
Andmed näitavad struktureeritud maksetorujuhtmest, mis ühendab krüptoraha-vooge fiat-raha teisendamisega. Kasutajad üleandsid vahendusi börsidelt või teisendasid varasid Hiina pangakontode ja fintech-platvormide, näiteks Payoneer, kaudu. Seega säilitas võrk stabiilse likviidsuse mitmes kanalis.
Tähelepanuväärsemalt kasutas sisemine server mitmes kontos nõrka vaikimisi parooli „123456“. See ebaõnnestumine paljastas süsteemis tõsiseid turvaaugusid.
Platvorm sisaldas kasutajarolle, korea nimesid ja asukohateavet, mis vastas teadaolevatele Põhja-Korea IT-töötajate struktuuridele. Lisaks ilmus kolm võrguga seotud ettevõtet OFAC-i sanktsiooninimekirja, sealhulgas Sobaeksu, Saenal ja Songkwang.
ZachXBT tuvastas alates novembrist 2025 viimastest päevadest seotud rahakottadele suunatud üle 3,5 miljoni USA dollari suuruseid tehinguid. Ühtlane muster hõlmas tsentraliseeritud kinnitust administraatori kontolt PC-1234. See konto kinnitas makseid ning jagas autentimisandmeid börsidele ja fintech-platvormidele.
Lisaks freeze’is Tether detsembris 2025 ühe Tron-rahakoti, mis oli seotud selle tegevusega. See tegevus rõhutas riigiga seotud rühmade poolt sooritatavaid ebaseaduslikke krüptoraha-tegevusi suurenevat täitmiskohustust.
Operatsiooniline sügavus ja koolitusaktiviteedid
Rünnak paljastas ka sisemisi arutelusid ja koolitusmaterjale. Sisemises Slacki kanalis osales samal ajal 33 DPRK IT-töötajat IPMsg kaudu. Samuti jagasid administraatorid 43 koolitusmoodulit tööriistade kohta, näiteks IDA Pro ja Hex-Rays.
Need materjalid käsitlesid tagurpidi inseneritööd, silumist ja tarkvarapettusi. Seetõttu demonstreeris rühm struktureeritud koolitust, kuigi selle keerukus oli väiksem kui edukamate rühmade AppleJeus või TraderTraitor puhul. Siiski genereeris tegevuste mastaap ikkagi olulisi tuluvooallikaid.
Leke logides viidati ka valeidentiteetide ja deepfake-rakenduste kasutamisele töökoha sisaloomiseks. Mõned vestlused käsitlesid ka mänguplatvormide ja finants teenuste sihtmärkimist.
Seotud: SBI Ripple Asia on lõpetanud oma tokenite väljastamise platvormi XRP Ledger (XRPL) peal
Disclaimer: Selles artiklis esitatud teave on ainult informatiivsel ja hariduslikul eesmärgil. Artikkel ei ole finantsnõuanne ega mingit muud liiki nõuanne. Coin Edition ei vastuta artiklis mainitud sisu, toodete või teenuste kasutamisest tulenevate kaotuste eest. Lugejaid soovitatakse olla ettevaatlikud enne tegevuste alustamist seoses sellega ettevõttega.
Allikas: https://coinedition.com/dprk-it-network-breach-exposes-1m-month-fraud-scheme/
