Пароль «123456» раскрыл сеть IT-работников из КНДР в криптоиндустрии
IT-специалисты из Северной Кореи под видом обычных разработчиков устраиваются в криптопроекты, чтобы в дальнейшем их взломать. Об этом сообщил ончейн-детектив ZachXBT.
1/ Recently an unnamed source shared data exfiltrated from an internal North Korean payment server containing 390 accounts, chat logs, crypto transactions.
— ZachXBT (@zachxbt) April 8, 2026
I spent long hours going through all of it, none of which has ever been publicly released.
It revealed an intricate… pic.twitter.com/aTybOrwMHq
Анонимный источник предоставил специалисту данные с внутреннего платежного сервера КНДР. Утечка включала 390 учетных записей, переписки и криптовалютные транзакции.
«Я потратил часы на изучение этих данных. Они никогда не публиковались. Схема оказалась сложной: фальшивые личности, поддельные документы и конвертация крипты в фиат примерно на $1 млн в месяц», — написал эксперт.
Как устроена схема
У одного из IT-специалистов КНДР под ником Jerry взломали компьютер. Извлеченные данные включали логи чатов мессенджера IPMsg, фейковые анкеты соискателей и историю браузера.
Анализ показал, что на сайте luckyguys[.]site — внутренней платежной платформе с интерфейсом в стиле Discord — мошенники отчитывались перед кураторами о полученных платежах. Пароль по умолчанию — «123456» — оставили одинаковым для десяти пользователей.
В их учетных записях ZachXBT нашел роли, корейские имена, города и кодовые названия групп, отражающие деятельность разработчиков из КНДР.
3/ The site's default password was 123456, which remained unchanged for ten users.
— ZachXBT (@zachxbt) April 8, 2026
The user list included roles, Korean names, cities, and coded group names consistent with DPRK IT worker operations.
Three companies which appeared are currently OFAC sanctioned: Sobaeksu,… pic.twitter.com/rKYS0TR9BL
Три фигурирующие в отчете компании — Sobaeksu, Saenal и Songkwang — находятся под санкциями OFAC.
Сразу после публикации расследования ресурс luckyguys[.]site перестал открываться.
Update: The internal DPRK payment site has since been taken down after my post.
— ZachXBT (@zachxbt) April 9, 2026
However all data was archived in advance. pic.twitter.com/9cRdopal5g
Детали операций
С декабря 2025 по апрель 2026 года пользователь WebMsg под псевдонимом Rascal в переписке с PC-1234 обсуждал переводы платежей и создание фальшивых личностей. Все транзакции проходили через учетную запись администратора сервера PC-1234, который их и подтверждал.
4/ Here is one of the WebMsg users 'Rascal' and their DMs with PC-1234 detailing payment transfers and the use of fraudulent identities from December 2025 through April 2026.
— ZachXBT (@zachxbt) April 8, 2026
All payments are processed and confirmed through the server admin account: PC-1234.
Addresses in Hong… pic.twitter.com/akyjmTbL5J
Счета и товары оплачивались через адреса в Гонконге (их подлинность еще проверяется). С конца ноября 2025 года на эти кошельки поступило более $3,5 млн.
Схема переводов была однотипной: пользователи либо отправляли криптовалюту с биржи или сервиса, либо конвертировали ее в фиат через китайские банковские счета с помощью платформ вроде Payoneer.
Структура и попытки взломов
Опираясь на собранные данные, ZachXBT восстановил полную организационную структуру сети, включая детализацию выплат на каждого пользователя и группу в период с декабря 2025 по февраль 2026 года.
Анализ внутренних транзакций выявил ончейн-связи с несколькими известными кластерами IT-работников КНДР. В декабре 2025 года компания Tether заморозила один из таких кошельков в сети TRON.
На взломанном устройстве Jerry нашли следы использования VPN и множество поддельных резюме.
В Slack-чате пользователь под ником Nami поделился статьей о дипфейк-соискателе — специалисте из Северной Кореи. Один из коллег спросил, не о них ли идет речь, а другой заметил, что им запрещено пересылать внешние ссылки.
8/ Jerry's compromised device shows usage of Astrill VPN and various fake personas applying for jobs.
— ZachXBT (@zachxbt) April 8, 2026
An internal Slack showed 'Nami' sharing a blog post about a DPRK IT worker deepfake job applicant. A second user asked if it was them, while a third noted they aren't allowed to… pic.twitter.com/7ZdGbX91WT
Jerry активно обсуждал с другим IT-работником из КНДР возможность кражи средств из проекта Arcano (игра на GalaChain) через нигерийский прокси. Удалось ли им реализовать атаку — неизвестно.
Обучение и уровень угрозы
С ноября 2025 по февраль 2026 года администратор отправил группе 43 учебных модуля Hex-Rays/IDA Pro. В тренинги входили дизассемблирование, декомпиляция, локальная и удаленная отладка, а также другие аспекты кибербезопасности.
ZachXBT отметил, что эта группа IT-специалистов из КНДР менее изощрена по сравнению с AppleJeus и TraderTraitor, которые работают эффективнее и представляют главную угрозу для индустрии.
Ранее он оценивал доходы северокорейских разработчиков в несколько миллионов долларов ежемесячно, и последние данные подтвердили эти расчеты.
«Мое непопулярное мнение: хакеры зря не атакуют низкоуровневые группы КНДР. Риск низкий, конкуренции почти нет, а цели, возможно, того стоят», — подчеркнул ончейн-детектив.
Как вычислить северокорейского хакера
Ранее в соцсети X завирусилось видео с собеседования, где IT-специалиста из КНДР попросили оскорбить главу страны Ким Чен Ына.
Here is a video of a North Korean IT worker being stopped dead in their tracks upon being required to insult Kim Jong Un.
— tanuki42 (@tanuki42_) April 6, 2026
It won't work forever, but right now it's genuinely an effective filter. I'm yet to come across one who can say it. https://t.co/8FFVPxNm8X pic.twitter.com/KXI5efMo5L
Кандидат этого не сделал — сразу после просьбы картинка зависла. Причиной могло стать то, что критика лидера уголовно наказуема в Северной Корее.
Разработчик выдавал себя за японца по имени Таро Айкути (Taro Aikuchi). На следующий день после публикации ролика он удалил свои резюме с LinkedIn и личного сайта, а также поменял ник в Telegram.
Напомним, в апреле исследовательница по безопасности MetaMask Тейлор Монахан заявила, что северокорейские IT-специалисты устраиваются в DeFi-протоколы на протяжении как минимум семи лет.
Среди затронутых лицами из КНДР проектов она выделила SushiSwap, Thorchain, Fantom, Shib, Yearn, Floki и многие другие проекты.
Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!
