Încălcarea Rețelei IT DPRK Expune Schemă de Fraudă de 1 Milion USD/Lună

• Lucrătorii IT din RPDC au gestionat o rețea de fraudă crypto de 1 milion USD/lună cu pipeline-uri structurate.
• Parolele slabe și companiile listate de OFAC au expus vulnerabilități operaționale majore.
• Jurnalele de instruire dezvăluie inginerie inversă organizată și fraudă de identitate pentru venituri.

O investigație recentă efectuată de analistul blockchain ZachXBT a descoperit o breșă internă la scară largă legată de lucrătorii IT nord-coreeni. Datele divulgate au expus o rețea de 390 de conturi, jurnale de chat și tranzacții crypto. 

Pe lângă aceasta, descoperirile dezvăluie un sistem coordonat care a procesat aproximativ 1 milion USD pe lună prin identități frauduloase și înșelăciune financiară. În consecință, breșa oferă o vizibilitate rară asupra modului în care funcționează aceste operațiuni în culise.

ZachXBT a raportat că o sursă anonimă a furnizat datele după compromiterea unui dispozitiv legat de un lucrător IT din RPDC. Infecția a provenit de la un infostealer, care a extras jurnale de chat IPMsg, istoric de navigare și înregistrări de identitate. 

În plus, jurnalele au dezvăluit o platformă numită luckyguys[.]site, care a funcționat ca un hub de comunicare internă. Acest sistem a funcționat ca un serviciu privat de mesagerie pentru raportarea plăților și coordonarea activității.

Infrastructura de plată și fluxul operațional

Datele arată un pipeline de plată structurat care conectează fluxurile crypto la conversia fiat. Utilizatorii au transferat fonduri de la schimburi sau au convertit active prin conturi bancare chineze și platforme fintech precum Payoneer. Astfel, rețeaua a menținut lichiditate constantă pe mai multe canale.

În mod semnificativ, serverul intern a folosit o parolă implicită slabă, 123456, pe mai multe conturi. Această omisiune a expus lacune grave de securitate în cadrul sistemului. 

Platforma includea roluri de utilizator, nume coreene și date de locație, care se aliniază cu structurile cunoscute ale lucrătorilor IT din RPDC. Mai mult, trei companii legate de rețea au apărut pe listele de sancțiuni OFAC, inclusiv Sobaeksu, Saenal și Songkwang.

ZachXBT a identificat peste 3,5 milioane USD în tranzacții care au intrat în adresele de portofel asociate din sfârșitul lunii noiembrie 2025. Modelul consecvent a implicat confirmarea centralizată de către un cont de administrator etichetat PC-1234. Acest cont a validat plățile și a distribuit acreditări pentru schimburi și platforme fintech.

În plus, un portofel Tron legat de operațiune a fost înghețat de Tether în decembrie 2025. Această acțiune a evidențiat creșterea presiunii de aplicare asupra activității crypto ilicite legate de grupuri susținute de stat.

Profunzimea operațională și activitățile de instruire

Breșa a expus, de asemenea, discuții interne și materiale de instruire. Un canal Slack intern a arătat 33 de lucrători IT din RPDC comunicând simultan prin IPMsg. Mai mult, administratorii au distribuit 43 de module de instruire despre instrumente precum IDA Pro și Hex-Rays.

Aceste materiale acopereau inginerie inversă, depanare și tehnici de exploatare a software-ului. În consecință, grupul a demonstrat instruire structurată în ciuda sofisticării limitate în comparație cu grupuri avansate precum AppleJeus sau TraderTraitor. Cu toate acestea, amploarea operațiunilor a generat în continuare fluxuri semnificative de venituri.

Jurnalele divulgate au făcut, de asemenea, referire la încercări de a utiliza identități false și aplicații deepfake pentru infiltrarea în locuri de muncă. În plus, unele conversații au acoperit targetarea platformelor de jocuri și serviciilor financiare.

Conex: SBI Ripple Asia și-a finalizat platforma de emitere a token-urilor pe XRP Ledger (XRPL)