DPRK-IT-Netzwerk-Verstoß deckt Betrugsschema von 1 Mio. USD/Monat auf

• DPRK-IT-Mitarbeiter betrieben ein Krypto-Betrugsnetzwerk im Wert von 1 Mio. USD pro Monat mit strukturierten Pipelines.
• Schwache Passwörter und OFAC-gelistete Unternehmen enthüllten große operative Schwachstellen.
• Schulungsprotokolle zeigen organisiertes Reverse-Engineering und Identitätsbetrug für Einnahmen.

Eine kürzliche Untersuchung des Blockchain-Analysten ZachXBT deckte eine groß angelegte interne Sicherheitsverletzung auf, die mit nordkoreanischen IT-Mitarbeitern in Verbindung steht. Die geleakten Daten enthüllten ein Netzwerk von 390 Konten, Chatprotokollen und Krypto-Transaktionen. 

Darüber hinaus zeigen die Ergebnisse ein koordiniertes System, das monatlich rund 1 Mio. USD durch betrügerische Identitäten und finanzielle Täuschung verarbeitete. Folglich bietet die Sicherheitsverletzung einen seltenen Einblick in die Funktionsweise dieser Operationen hinter den Kulissen.

ZachXBT berichtete, dass eine ungenannte Quelle die Daten bereitstellte, nachdem ein Gerät kompromittiert wurde, das mit einem DPRK-IT-Mitarbeiter verbunden war. Die Infektion stammte von einem Infostealer, der IPMsg-Chatprotokolle, Browserverlauf und Identitätsdatensätze extrahierte. 

Zusätzlich enthüllten die Protokolle eine Plattform namens luckyguys[.]site, die als interner Kommunikationsknotenpunkt fungierte. Dieses System funktionierte wie ein privater Nachrichtendienst zur Meldung von Zahlungen und Koordinierung von Aktivitäten.

Zahlungsinfrastruktur und operativer Ablauf

Die Daten zeigen eine strukturierte Zahlungspipeline, die Kryptoflüsse mit Fiat-Konvertierung verbindet. Benutzer überwiesen Gelder von Börsen oder konvertierten Vermögenswerte über chinesische Bankkonten und Fintech-Plattformen wie Payoneer. Daher hielt das Netzwerk über mehrere Kanäle eine stetige Liquidität aufrecht.

Bemerkenswerterweise verwendete der interne Server ein schwaches Standardpasswort, 123456, für mehrere Konten. Diese Nachlässigkeit enthüllte schwerwiegende Sicherheitslücken innerhalb des Systems. 

Die Plattform umfasste Benutzerrollen, koreanische Namen und Standortdaten, die mit bekannten DPRK-IT-Mitarbeiterstrukturen übereinstimmten. Darüber hinaus erschienen drei mit dem Netzwerk verbundene Unternehmen auf OFAC-Sanktionslisten, darunter Sobaeksu, Saenal und Songkwang.

ZachXBT identifizierte seit Ende November 2025 über 3,5 Mio. USD an Transaktionen, die in zugehörige Wallet-Adressen flossen. Das konsistente Muster beinhaltete eine zentralisierte Bestätigung durch ein Admin-Konto mit der Bezeichnung PC-1234. Dieses Konto validierte Zahlungen und verteilte Anmeldedaten für Börsen und Fintech-Plattformen.

Zusätzlich wurde ein mit der Operation verbundenes Tron-Wallet im Dezember 2025 von Tether eingefroren. Diese Maßnahme unterstrich den zunehmenden Durchsetzungsdruck auf illegale Krypto-Aktivitäten, die mit staatlich unterstützten Gruppen verbunden sind.

Operative Tiefe und Schulungsaktivitäten

Die Sicherheitsverletzung enthüllte auch interne Diskussionen und Schulungsmaterialien. Ein interner Slack-Kanal zeigte 33 DPRK-IT-Mitarbeiter, die gleichzeitig über IPMsg kommunizierten. Darüber hinaus verteilten Administratoren 43 Schulungsmodule zu Tools wie IDA Pro und Hex-Rays.

Diese Materialien behandelten Reverse-Engineering, Debugging und Software-Exploitation-Techniken. Folglich demonstrierte die Gruppe strukturierte Schulungen trotz begrenzter Raffinesse im Vergleich zu fortgeschrittenen Gruppen wie AppleJeus oder TraderTraitor. Dennoch generierte der Umfang der Operationen weiterhin erhebliche Einnahmequellen.

Die geleakten Protokolle verwiesen auch auf Versuche, gefälschte Identitäten und Deepfake-Anwendungen zur Arbeitsplatzinfiltration zu verwenden. Zusätzlich deckten einige Gespräche das Targeting von Gaming-Plattformen und Finanzdienstleistungen ab.

Verwandt: SBI Ripple Asia hat seine Token-Ausgabeplattform auf XRP Ledger (XRPL) abgeschlossen