Пароль «123456» викрив мережу IT-працівників КНДР у криптоіндустрії
ІТ-спеціалісти з Північної Кореї під виглядом звичайних розробників влаштовуються до криптопроєктів, аби згодом їх зламати. Про це повідомив ончейн-детектив ZachXBT.
Анонімне джерело надало фахівцю дані з внутрішнього платіжного сервера КНДР. Витік включав 390 облікових записів, листування та криптовалютні транзакції.
«Я витратив години на вивчення цих даних. Вони ніколи не публікувалися. Схема виявилася складною: фальшиві особи, підроблені документи та конвертація крипти у фіат приблизно на $1 млн на місяць», — написав експерт.
Як працює схема
У одного з ІТ-спеціалістів КНДР під ніком Jerry зламали комп’ютер. Вилучені дані включали логи чатів месенджера IPMsg, фейкові анкети спеціалістів і історію браузера.
Аналіз показав, що на сайті luckyguys[.]site — внутрішній платіжній платформі з інтерфейсом у стилі Discord — шахраї звітували кураторам про отримані платежі. Пароль за замовчуванням — «123456» — залишили однаковим для десяти користувачів.
В їхніх облікових записах ZachXBT знайшов ролі, корейські імена, міста та кодові назви груп, що відображали діяльність розробників із КНДР.
Три компанії, що фігурують у звіті, — Sobaeksu, Saenal і Songkwang — перебувають під санкціями OFAC.
Одразу після публікації розслідування ресурс luckyguys[.]site перестав відкриватися.
Деталі операцій
З грудня 2025 по квітень 2026 року користувач WebMsg під псевдонімом Rascal у листуванні з PC-1234 обговорював перекази платежів і створення фальшивих особистостей. Усі транзакції проходили через обліковий запис адміністратора сервера PC-1234, який їх підтверджував.
Рахунки та товари оплачувалися через адреси в Гонконзі (їхню автентичність ще перевіряють). Із кінця листопада 2025 року на ці гаманці надійшло понад $3,5 млн.
Схема переказів була однотипною: користувачі або надсилали криптовалюту з біржі чи сервісу, або конвертували її у фіат через китайські банківські рахунки за допомогою платформ на кшталт Payoneer.
Структура і спроби зламів
Спираючись на зібрані дані, ZachXBT відновив повну організаційну структуру мережі, включно з деталізацією виплат на кожного користувача та групу в період із грудня 2025 по лютий 2026 року.
Аналіз внутрішніх транзакцій виявив ончейн-зв’язки з кількома відомими кластерами ІТ-робітників КНДР. У грудні 2025 року компанія Tether заморозила один із таких гаманців у мережі TRON.
На зламаному пристрої Jerry знайшли сліди використання VPN і безліч підроблених резюме.
У Slack-чаті користувач під ніком Nami поділився статтею про дипфейк-співробітника — ІТ-спеціаліста з Північної Кореї. Один із колег спитав, чи не про них ідеться, а інший зауважив, що їм заборонено пересилати зовнішні посилання.
Jerry активно обговорював із іншим ІТ-робітником КНДР можливість крадіжки коштів із проєкту Arcano (гра на GalaChain) через нігерійський проксі. Чи вдалося реалізувати атаку — невідомо.
Навчання і рівень загрози
З листопада 2025 по лютий 2026 року адміністратор надіслав групі 43 навчальні модулі Hex-Rays/IDA Pro. У тренінги входили дизасемблювання, декомпіляція, локальне й віддалене налагодження, а також інші аспекти кібербезпеки.
ZachXBT зазначив, що ця група ІТ-спеціалістів із КНДР менш витончена порівняно з AppleJeus і TraderTraitor, які працюють ефективніше і становлять головну загрозу для індустрії.
Раніше він оцінював доходи північнокорейських розробників у кілька мільйонів доларів щомісяця, і останні дані підтвердили ці розрахунки.
«Моя непопулярна думка: хакери дарма не атакують низькорівневі групи КНДР. Ризик низький, конкуренції майже немає, а цілі, можливо, того варті», — підкреслив ончейн-детектив.
Як розпізнати північнокорейського хакера
Раніше в соцмережі X завірусилося відео зі співбесіди, де ІТ-спеціаліста з КНДР попросили образити главу країни Кім Чен Ина.
Кандидат цього не зробив — одразу після прохання картинка «зависла». Причиною могло бути те, що критика лідера в Північній Кореї карається.
Розробник видавав себе за японця на ім’я Таро Айкучі (Taro Aikuchi). Наступного дня після публікації ролика він видалив свої резюме з LinkedIn і особистого сайту, а також змінив нік у Telegram.
Источник: forklog.com.ua