Naruszenie sieci IT KRLD ujawnia schemat oszustwa o wartości 1 mln USD miesięcznie

• Pracownicy IT z KRLD prowadzili sieć oszustw kryptowalutowych o wartości 1 mln USD miesięcznie z uporządkowanymi strukturami.
• Słabe hasła i firmy na liście OFAC ujawniły poważne luki operacyjne.
• Dzienniki szkoleniowe ujawniają zorganizowaną inżynierię wsteczną i oszustwa tożsamości w celu uzyskania przychodów.

Niedawne śledztwo przeprowadzone przez analityka blockchain ZachXBT ujawniło zakrojone na szeroką skalę wewnętrzne naruszenie związane z pracownikami IT z Korei Północnej. Wyciekłe dane ujawniły sieć 390 kont, dzienników czatów i transakcji kryptowalutowych. 

Ponadto ustalenia ujawniają skoordynowany system, który przetwarzał około 1 mln USD miesięcznie za pomocą fałszywych tożsamości i oszustw finansowych. W konsekwencji naruszenie zapewnia rzadki wgląd w to, jak te operacje działają za kulisami.

ZachXBT poinformował, że nienazwane źródło dostarczyło dane po skompromitowaniu urządzenia powiązanego z pracownikiem IT z KRLD. Infekcja pochodziła z infostealera, który wyodrębnił dzienniki czatów IPMsg, historię przeglądarki i rejestry tożsamości. 

Dodatkowo dzienniki ujawniły platformę o nazwie luckyguys[.]site, która działała jako wewnętrzne centrum komunikacji. System ten funkcjonował jak prywatna usługa przesyłania wiadomości do raportowania płatności i koordynowania działań.

Infrastruktura płatności i przepływ operacyjny

Dane pokazują uporządkowany system płatności, który łączy przepływy kryptowalut z konwersją na walutę fiducjarną. Użytkownicy przelewali środki z giełd lub konwertowali aktywa za pośrednictwem chińskich kont bankowych i platform fintech, takich jak Payoneer. W związku z tym sieć utrzymywała stałą płynność w wielu kanałach.

Co istotne, wewnętrzny serwer używał słabego domyślnego hasła, 123456, na kilku kontach. To niedopatrzenie ujawniło poważne luki w zabezpieczeniach systemu. 

Platforma zawierała role użytkowników, koreańskie nazwy i dane lokalizacyjne, które były zgodne ze znanymi strukturami pracowników IT z KRLD. Ponadto trzy firmy powiązane z siecią pojawiły się na listach sankcji OFAC, w tym Sobaeksu, Saenal i Songkwang.

ZachXBT zidentyfikował ponad 3,5 mln USD w transakcjach wpływających na powiązane adresy portfeli od końca listopada 2025 roku. Spójny wzorzec obejmował scentralizowane potwierdzenie przez konto administratora oznaczone jako PC-1234. To konto weryfikowało płatności i dystrybuowało dane uwierzytelniające dla giełd i platform fintech.

Dodatkowo jeden portfel Tron powiązany z operacją został zamrożony przez Tether w grudniu 2025 roku. Ta akcja podkreśliła rosnącą presję egzekucyjną na nielegalną działalność kryptowalutową związaną z grupami wspieranymi przez państwo.

Głębokość operacyjna i działania szkoleniowe

Naruszenie ujawniło również wewnętrzne dyskusje i materiały szkoleniowe. Wewnętrzny kanał Slack pokazał 33 pracowników IT z KRLD komunikujących się jednocześnie za pośrednictwem IPMsg. Ponadto administratorzy rozpowszechnili 43 moduły szkoleniowe dotyczące narzędzi takich jak IDA Pro i Hex-Rays.

Materiały te obejmowały inżynierię wsteczną, debugowanie i techniki wykorzystywania oprogramowania. W konsekwencji grupa wykazała uporządkowane szkolenie pomimo ograniczonego zaawansowania w porównaniu z zaawansowanymi grupami takimi jak AppleJeus czy TraderTraitor. Jednak skala operacji nadal generowała znaczące strumienie przychodów.

Wyciekłe dzienniki odnosiły się również do prób wykorzystania fałszywych tożsamości i aplikacji deepfake do infiltracji miejsc pracy. Dodatkowo niektóre rozmowy dotyczyły targetowania platform gamingowych i usług finansowych.

Powiązane: SBI Ripple Asia ukończyła swoją platformę emisji tokenów na XRP Ledger (XRPL)