Простейший пароль «123456» помог раскрыть сеть северокорейских IT-агентов в криптоиндустрии

Известный ончейн-детектив ZachXBT опубликовал масштабное расследование о сети IT-специалистов из Северной Кореи, которые под прикрытием фальшивых личностей устраиваются в криптопроекты с целью последующих взломов. Ключом к раскрытию схемы стал тривиальный пароль «123456», оставленный без изменений на внутренней платформе.

«Recently an unnamed source shared data exfiltrated from an internal North Korean payment server containing 390 accounts, chat logs, crypto transactions. I spent long hours going through all of it, none of which has ever been publicly released. It revealed an intricate…» — ZachXBT (@zachxbt), оригинальный пост

Почему это важно

Северокорейские хакерские группировки уже давно считаются одной из главных угроз для криптоиндустрии. Однако данное расследование впервые продемонстрировало внутреннюю кухню операции: от организационной структуры и платёжной системы до учебных программ и методов конвертации криптовалют в фиат. Объём выявленных переводов — более $3,5 млн только за последние месяцы — показывает реальный масштаб угрозы для каждого криптопроекта, нанимающего удалённых разработчиков.

Как функционировала схема

Анонимный источник передал ZachXBT данные с внутреннего платёжного сервера КНДР. Утечка содержала 390 учётных записей, логи переписок и записи о криптовалютных переводах. По словам исследователя, схема включала создание поддельных личностей, фабрикацию документов и ежемесячную конвертацию криптовалюты в фиатные деньги примерно на $1 млн.

Отправной точкой расследования стал взлом компьютера одного из северокорейских IT-специалистов, действовавшего под ником Jerry. С устройства извлекли чат-логи мессенджера IPMsg, поддельные резюме соискателей и историю браузера. Анализ показал, что на ресурсе luckyguys[.]site — внутренней платёжной платформе с интерфейсом, напоминающим Discord — агенты отчитывались перед кураторами о полученных выплатах.

«The site's default password was 123456, which remained unchanged for ten users. The user list included roles, Korean names, cities, and coded group names consistent with DPRK IT worker operations. Three companies which appeared are currently OFAC sanctioned: Sobaeksu,…» — ZachXBT (@zachxbt), оригинальный пост

Три компании, обнаруженные в данных — Sobaeksu, Saenal и Songkwang — находятся под санкциями OFAC. Сразу после публикации расследования сайт luckyguys[.]site прекратил работу, однако ZachXBT заранее заархивировал все материалы.

«Update: The internal DPRK payment site has since been taken down after my post. However all data was archived in advance.» — ZachXBT (@zachxbt), оригинальный пост

Финансовые потоки и операции

В период с декабря 2025 по апрель 2026 года пользователь мессенджера WebMsg под псевдонимом Rascal координировал с администратором сервера PC-1234 переводы средств и использование фальшивых личностей. Все платежи проходили подтверждение через аккаунт администратора PC-1234.

«Here is one of the WebMsg users 'Rascal' and their DMs with PC-1234 detailing payment transfers and the use of fraudulent identities from December 2025 through April 2026. All payments are processed and confirmed through the server admin account: PC-1234. Addresses in Hong…» — ZachXBT (@zachxbt), оригинальный пост

Оплата счетов и товаров осуществлялась через адреса в Гонконге (их подлинность пока проверяется). С конца ноября 2025 года на связанные кошельки поступило свыше $3,5 млн. Средства либо выводились с криптобирж, либо конвертировались в фиат через китайские банковские счета с использованием платформ типа Payoneer.

ZachXBT восстановил полную организационную структуру сети с детализацией выплат по каждому участнику и группе за декабрь 2025 — февраль 2026 года. Ончейн-анализ выявил связи с уже известными кластерами северокорейских IT-работников. В декабре 2025 года компания Tether заморозила один из таких кошельков в сети TRON.

VPN, дипфейки и попытки краж

На взломанном устройстве Jerry обнаружены следы использования Astrill VPN и множество поддельных резюме для трудоустройства.

«Jerry's compromised device shows usage of Astrill VPN and various fake personas applying for jobs. An internal Slack showed 'Nami' sharing a blog post about a DPRK IT worker deepfake job applicant. A second user asked if it was them, while a third noted they aren't allowed to…» — ZachXBT (@zachxbt), оригинальный пост

В Slack-чате участник под ником Nami распространил статью о дипфейк-соискателе из КНДР. Один из коллег поинтересовался, не о них ли речь, а другой напомнил о запрете на пересылку внешних ссылок. Jerry также обсуждал с другим северокорейским IT-работником возможность хищения средств из проекта Arcano (игра на GalaChain) через нигерийский прокси-сервер. Реализовали ли они эту атаку — неизвестно.

Учебные программы и уровень опасности

С ноября 2025 по февраль 2026 года администратор разослал группе 43 обучающих модуля Hex-Rays/IDA Pro, охватывающих дизассемблирование, декомпиляцию, локальную и удалённую отладку.

ZachXBT подчеркнул, что данная группа менее продвинута по сравнению с хакерскими командами AppleJeus и TraderTraitor, которые действуют эффективнее и представляют основную опасность для индустрии. При этом ранее он оценивал доходы северокорейских разработчиков в несколько миллионов долларов ежемесячно — свежая утечка подтвердила эти расчёты.

Как распознать агента из КНДР

Параллельно с расследованием в соцсети X завирусилось видео собеседования, на котором предполагаемому IT-специалисту из Северной Кореи предложили высказаться негативно о Ким Чен Ыне. Кандидат, представлявшийся японцем по имени Таро Айкути (Taro Aikuchi), не смог этого сделать — изображение зависло сразу после просьбы. Критика лидера в КНДР является уголовно наказуемым деянием. На следующий день после публикации видео этот человек удалил резюме с LinkedIn и личного сайта, а также сменил никнейм в Telegram.

Ранее, в апреле, исследователь по безопасности MetaMask Тейлор Монахан заявила, что северокорейские IT-специалисты внедряются в DeFi-протоколы на протяжении минимум семи лет. Среди затронутых проектов она назвала SushiSwap, Thorchain, Fantom, Shib, Yearn, Floki и ряд других.