Пароль «123456» викрив мережу IT-працівників КНДР у криптоіндустрії
ІТ-спеціалісти з Північної Кореї під виглядом звичайних розробників влаштовуються до криптопроєктів, аби згодом їх зламати. Про це повідомив ончейн-детектив ZachXBT.
1/ Нещодавно неназване джерело поділилося даними, ексфільтрованими з внутрішнього північнокорейського платіжного сервера, що містили 390 акаунтів, журнали чатів, криптотрaнзакції.
Я провів довгі години, переглядаючи все це, нічого з цього раніше публічно не розкривалося.
Це розкрило витончену… pic.twitter.com/aTybOrwMHq
— ZachXBT (@zachxbt) April 8, 2026
Анонімне джерело надало фахівцю дані з внутрішнього платіжного сервера КНДР. Витік включав 390 облікових записів, листування та криптовалютні транзакції.
«Я витратив години на вивчення цих даних. Вони ніколи не публікувалися. Схема виявилася складною: фальшиві особи, підроблені документи та конвертація крипти у фіат приблизно на $1 млн на місяць», — написав експерт.
Як працює схема
У одного з ІТ-спеціалістів КНДР під ніком Jerry зламали комп’ютер. Вилучені дані включали логи чатів месенджера IPMsg, фейкові анкети спеціалістів і історію браузера.
Аналіз показав, що на сайті luckyguys[.]site — внутрішній платіжній платформі з інтерфейсом у стилі Discord — шахраї звітували кураторам про отримані платежі. Пароль за замовчуванням — «123456» — залишили однаковим для десяти користувачів.
В їхніх облікових записах ZachXBT знайшов ролі, корейські імена, міста та кодові назви груп, що відображали діяльність розробників із КНДР.
3/ Стандартним паролем на сайті був 123456, і він залишався незмінним у десяти користувачів.
Список користувачів включав ролі, корейські імена, міста та кодові назви груп, що узгоджується з операціями ІТ-працівників КНДР.
Три компанії, які з’явилися, наразі під санкціями OFAC: Sobaeksu,… pic.twitter.com/rKYS0TR9BL
— ZachXBT (@zachxbt) April 8, 2026
Три компанії, що фігурують у звіті, — Sobaeksu, Saenal і Songkwang — перебувають під санкціями OFAC.
Одразу після публікації розслідування ресурс luckyguys[.]site перестав відкриватися.
Update: Внутрішній платіжний сайт КНДР відтоді було прибрано після мого допису.
Втім усі дані були заздалегідь заархівовані. pic.twitter.com/9cRdopal5g
— ZachXBT (@zachxbt) April 9, 2026
Деталі операцій
З грудня 2025 по квітень 2026 року користувач WebMsg під псевдонімом Rascal у листуванні з PC-1234 обговорював перекази платежів і створення фальшивих особистостей. Усі транзакції проходили через обліковий запис адміністратора сервера PC-1234, який їх підтверджував.
4/ Ось один із користувачів WebMsg «Rascal» та їхні особисті повідомлення з PC-1234 із деталями переказів платежів і використанням шахрайських особистостей із грудня 2025 по квітень 2026.
Усі платежі обробляються та підтверджуються через адмін-акаунт сервера: PC-1234.
Адреси в Гон… pic.twitter.com/akyjmTbL5J
— ZachXBT (@zachxbt) April 8, 2026
Рахунки та товари оплачувалися через адреси в Гонконзі (їхню автентичність ще перевіряють). Із кінця листопада 2025 року на ці гаманці надійшло понад $3,5 млн.
Схема переказів була однотипною: користувачі або надсилали криптовалюту з біржі чи сервісу, або конвертували її у фіат через китайські банківські рахунки за допомогою платформ на кшталт Payoneer.
Структура і спроби зламів
Спираючись на зібрані дані, ZachXBT відновив повну організаційну структуру мережі, включно з деталізацією виплат на кожного користувача та групу в період із грудня 2025 по лютий 2026 року.
Аналіз внутрішніх транзакцій виявив ончейн-зв’язки з кількома відомими кластерами ІТ-робітників КНДР. У грудні 2025 року компанія Tether заморозила один із таких гаманців у мережі TRON.
На зламаному пристрої Jerry знайшли сліди використання VPN і безліч підроблених резюме.
У Slack-чаті користувач під ніком Nami поділився статтею про дипфейк-співробітника — ІТ-спеціаліста з Північної Кореї. Один із колег спитав, чи не про них ідеться, а інший зауважив, що їм заборонено пересилати зовнішні посилання.
8/ Компрометований пристрій Jerry показує використання Astrill VPN і різних фейкових персон, які подаються на роботу.
Внутрішній Slack показав, що «Nami» поділився блог-постом про дипфейк-здобувача на роботу — ІТ-працівника КНДР. Другий користувач запитав, чи це були вони, тоді як третій зауважив, що їм не дозволено… pic.twitter.com/7ZdGbX91WT
— ZachXBT (@zachxbt) April 8, 2026
Jerry активно обговорював із іншим ІТ-робітником КНДР можливість крадіжки коштів із проєкту Arcano (гра на GalaChain) через нігерійський проксі. Чи вдалося реалізувати атаку — невідомо.
Навчання і рівень загрози
З листопада 2025 по лютий 2026 року адміністратор надіслав групі 43 навчальні модулі Hex-Rays/IDA Pro. У тренінги входили дизасемблювання, декомпіляція, локальне й віддалене налагодження, а також інші аспекти кібербезпеки.
ZachXBT зазначив, що ця група ІТ-спеціалістів із КНДР менш витончена порівняно з AppleJeus і TraderTraitor, які працюють ефективніше і становлять головну загрозу для індустрії.
Раніше він оцінював доходи північнокорейських розробників у кілька мільйонів доларів щомісяця, і останні дані підтвердили ці розрахунки.
«Моя непопулярна думка: хакери дарма не атакують низькорівневі групи КНДР. Ризик низький, конкуренції майже немає, а цілі, можливо, того варті», — підкреслив ончейн-детектив.
Як розпізнати північнокорейського хакера
Раніше в соцмережі X завірусилося відео зі співбесіди, де ІТ-спеціаліста з КНДР попросили образити главу країни Кім Чен Ина.
Here is a video of a North Korean IT worker being stopped dead in their tracks upon being required to insult Kim Jong Un.
It won’t work forever, but right now it’s genuinely an effective filter. I’m yet to come across one who can say it. https://t.co/8FFVPxNm8X pic.twitter.com/KXI5efMo5L
— tanuki42 (@tanuki42_) April 6, 2026
Кандидат цього не зробив — одразу після прохання картинка «зависла». Причиною могло бути те, що критика лідера в Північній Кореї карається.
Розробник видавав себе за японця на ім’я Таро Айкучі (Taro Aikuchi). Наступного дня після публікації ролика він видалив свої резюме з LinkedIn і особистого сайту, а також змінив нік у Telegram.
Нагадаємо, у квітні дослідниця з безпеки MetaMask Тейлор Монахан заявила, що північнокорейські ІТ-спеціалісти влаштовуються в DeFi-протоколи щонайменше сім років.
Серед проєктів, до яких мали стосунок особи з КНДР, вона виділила SushiSwap, Thorchain, Fantom, Shib, Yearn, Floki та багато інших.