“`html
Фахівці з інформаційних технологій з Північної Кореї маскуються під звичайних програмістів, щоб проникнути в криптопроєкти з метою подальшого злому. Про це повідомив ончейн-слідчий ZachXBT.
1/ Нещодавно анонімне джерело поділилося інформацією, отриманою з внутрішнього північнокорейського сервера платежів, що містила 390 акаунтів, записи чатів, криптотранзакції.
Я провів тривалий час, вивчаючи все це, і нічого з цього раніше не було оприлюднено.
Це виявило складну… pic.twitter.com/aTybOrwMHq
— ZachXBT (@zachxbt) April 8, 2026
Анонімне джерело надало експерту дані з внутрішньої платіжної системи КНДР. Витік містив 390 акаунтів, переписку та криптовалютні операції.
«Я витратив години на аналіз цих даних. Їх ніколи не було опубліковано. Схема виявилася хитромудрою: фальшиві ідентичності, підроблені документи та переведення криптовалюти у фіат приблизно на $1 млн щомісяця», — зазначив аналітик.
Як діє схема
Комп’ютер одного з ІТ-спеціалістів КНДР під псевдонімом Jerry був зламаний. Отримані дані включали журнали чатів месенджера IPMsg, фіктивні профілі спеціалістів та історію браузера.
Аналіз продемонстрував, що на вебсайті luckyguys[.]site — внутрішній платіжній платформі з дизайном, що нагадує Discord — шахраї звітували своїм кураторам про отримані виплати. Дефолтний пароль — «123456» — залишили без змін для десяти користувачів.
В їхніх акаунтах ZachXBT виявив ролі, корейські імена, міста та кодові найменування груп, що вказували на діяльність програмістів із КНДР.
3/ Стандартним паролем на сайті був 123456, і він залишався тим самим у десяти користувачів.
Список користувачів включав ролі, корейські імена, міста та кодові назви груп, що узгоджується з операціями ІТ-працівників КНДР.
Три компанії, які з’явилися, наразі під санкціями OFAC: Sobaeksu,… pic.twitter.com/rKYS0TR9BL
— ZachXBT (@zachxbt) April 8, 2026
Три фірми, згадані у звіті, — Sobaeksu, Saenal і Songkwang — перебувають під санкціями OFAC.
Відразу після оприлюднення розслідування вебсайт luckyguys[.]site перестав функціонувати.
Update: Внутрішній платіжний сайт КНДР відтоді було прибрано після мого допису.
Втім усі дані були заздалегідь заархівовані. pic.twitter.com/9cRdopal5g
— ZachXBT (@zachxbt) April 9, 2026
Деталі операцій
З грудня 2025 по квітень 2026 року користувач WebMsg під ніком Rascal у листуванні з PC-1234 обговорював перекази виплат і створення фальшивих ідентичностей. Усі операції проходили через обліковий запис адміністратора сервера PC-1234, який їх підтверджував.
4/ Ось один із користувачів WebMsg «Rascal» та їхні особисті повідомлення з PC-1234 із деталями переказів платежів і використанням шахрайських особистостей із грудня 2025 по квітень 2026.
Усі платежі обробляються та підтверджуються через адмін-акаунт сервера: PC-1234.
Адреси в Гон… pic.twitter.com/akyjmTbL5J
— ZachXBT (@zachxbt) April 8, 2026
Рахунки та товари оплачувалися через адреси в Гонконзі (їхню справжність ще перевіряють). З кінця листопада 2025 року на ці гаманці надійшло понад $3,5 млн.
Схема переказів була ідентичною: користувачі або відправляли криптовалюту з біржі чи сервісу, або переводили її у фіат через китайські банківські рахунки, використовуючи платформи на зразок Payoneer.
Структура і спроби зламів
Базуючись на отриманих даних, ZachXBT відновив повну організаційну структуру мережі, включаючи деталізацію виплат на кожного учасника та групу в період з грудня 2025 по лютий 2026 року.
Аналіз внутрішніх операцій виявив ончейн-зв’язки з декількома відомими групами ІТ-працівників КНДР. У грудні 2025 року компанія Tether заблокувала один із таких гаманців у мережі TRON.
На зламаному пристрої Jerry були виявлені ознаки використання VPN і велика кількість підроблених резюме.
У Slack-чаті користувач під ніком Nami поділився публікацією про дипфейк-співробітника — ІТ-спеціаліста з Північної Кореї. Один з колег запитав, чи не про них йдеться, а інший відзначив, що їм заборонено пересилати зовнішні посилання.
8/ Компрометований пристрій Jerry показує використання Astrill VPN і різних фейкових персон, які подаються на роботу.
Внутрішній Slack показав, що «Nami» поділився блог-постом про дипфейк-здобувача на роботу — ІТ-працівника КНДР. Другий користувач запитав, чи це були вони, тоді як третій зауважив, що їм не дозволено… pic.twitter.com/7ZdGbX91WT
— ZachXBT (@zachxbt) April 8, 2026
Jerry активно обговорював з іншим ІТ-працівником КНДР можливість викрадення коштів з проєкту Arcano (гра на GalaChain) через нігерійський проксі. Чи була реалізована атака — невідомо.
Навчання і рівень загрози
З листопада 2025 по лютий 2026 року адміністратор відправив групі 43 навчальні модулі Hex-Rays/IDA Pro. У навчання входили дизасемблювання, декомпіляція, локальне та віддалене налагодження, а також інші аспекти кібербезпеки.
ZachXBT підкреслив, що ця група ІТ-спеціалістів з КНДР менш професійна, ніж AppleJeus і TraderTraitor, які діють більш ефективно і становлять серйозну загрозу для індустрії.
Раніше він оцінював прибутки північнокорейських програмістів у кілька мільйонів доларів щомісяця, і останні дані підтвердили ці підрахунки.
«Моя непопулярна думка: хакери даремно не нападають на низькорівневі групи КНДР. Ризик невеликий, конкуренція майже відсутня, а цілі, можливо, варті того», — зауважив ончейн-детектив.
Як ідентифікувати північнокорейського хакера
Нещодавно в соціальній мережі X поширилося відео зі співбесіди, де ІТ-спеціаліста з КНДР попросили висловити негативну оцінку щодо глави держави Кім Чен Ина.
Here is a video of a North Korean IT worker being stopped dead in their tracks upon being required to insult Kim Jong Un.
It won’t work forever, but right now it’s genuinely an effective filter. I’m yet to come across one who can say it. https://t.co/8FFVPxNm8X pic.twitter.com/KXI5efMo5L
— tanuki42 (@tanuki42_) April 6, 2026
Кандидат цього не зробив — одразу після вимоги картинка «зависла». Причиною могло бути те, що критика лідера в Північній Кореї тягне за собою покарання.
Розробник представлявся японцем на ім’я Таро Айкучі (Taro Aikuchi). Наступного дня після публікації відео він видалив свої резюме з LinkedIn та особистого вебсайту, а також змінив нік у Telegram.
Слід зазначити, у квітні експертка з безпеки MetaMask Тейлор Монахан заявила, що північнокорейські ІТ-фахівці працюють у DeFi-протоколах щонайменше сім років.
Серед проєктів, до яких були причетні особи з КНДР, вона виділила SushiSwap, Thorchain, Fantom, Shib, Yearn, Floki та багато інших.
“`