09 апреля 2026
IT-специалисты из Северной Кореи под видом обычных разработчиков устраиваются в криптопроекты, чтобы в дальнейшем их взломать. Об этом сообщил ончейн-детектив ZachXBT.
1/ Recently an unnamed source shared data exfiltrated from an internal North Korean payment server containing 390 accounts, chat logs, crypto transactions.
I spent long hours going through all of it, none of which has ever been publicly released.
It revealed an intricate… pic.twitter.com/aTybOrwMHq
— ZachXBT (@zachxbt) April 8, 2026
Анонимный источник предоставил специалисту данные с внутреннего платежного сервера КНДР. Утечка включала 390 учетных записей, переписки и криптовалютные транзакции.
«Я потратил часы на изучение этих данных. Они никогда не публиковались. Схема оказалась сложной: фальшивые личности, поддельные документы и конвертация крипты в фиат примерно на $1 млн в месяц», — написал эксперт.
Как устроена схема
У одного из IT-специалистов КНДР под ником Jerry взломали компьютер. Извлеченные данные включали логи чатов мессенджера IPMsg, фейковые анкеты соискателей и историю браузера.
Анализ показал, что на сайте luckyguys[.]site — внутренней платежной платформе с интерфейсом в стиле Discord — мошенники отчитывались перед кураторами о полученных платежах. Пароль по умолчанию — «123456» — оставили одинаковым для десяти пользователей.
В их учетных записях ZachXBT нашел роли, корейские имена, города и кодовые названия групп, отражающие деятельность разработчиков из КНДР.
3/ The site's default password was 123456, which remained unchanged for ten users.
The user list included roles, Korean names, cities, and coded group names consistent with DPRK IT worker operations.
Three companies which appeared are currently OFAC sanctioned: Sobaeksu,… pic.twitter.com/rKYS0TR9BL
— ZachXBT (@zachxbt) April 8, 2026
Три фигурирующие в отчете компании — Sobaeksu, Saenal и Songkwang — находятся под санкциями OFAC.
Сразу после публикации расследования ресурс luckyguys[.]site перестал открываться.
Update: The internal DPRK payment site has since been taken down after my post.
However all data was archived in advance. pic.twitter.com/9cRdopal5g
— ZachXBT (@zachxbt) April 9, 2026
Детали операций
С декабря 2025 по апрель 2026 года пользователь WebMsg под псевдонимом Rascal в переписке с PC-1234 обсуждал переводы платежей и создание фальшивых личностей. Все транзакции проходили через учетную запись администратора сервера PC-1234, который их и подтверждал.
4/ Here is one of the WebMsg users 'Rascal' and their DMs with PC-1234 detailing payment transfers and the use of fraudulent identities from December 2025 through April 2026.
All payments are processed and confirmed through the server admin account: PC-1234.
Addresses in Hong… pic.twitter.com/akyjmTbL5J
— ZachXBT (@zachxbt) April 8, 2026
Счета и товары оплачивались через адреса в Гонконге (их подлинность еще проверяется). С конца ноября 2025 года на эти кошельки поступило более $3,5 млн.
Схема переводов была однотипной: пользователи либо отправляли криптовалюту с биржи или сервиса, либо конвертировали ее в фиат через китайские банковские счета с помощью платформ вроде Payoneer.
Структура и попытки взломов
Опираясь на собранные данные, ZachXBT восстановил полную организационную структуру сети, включая детализацию выплат на каждого пользователя и группу в период с декабря 2025 по февраль 2026 года.
Анализ внутренних транзакций выявил ончейн-связи с несколькими известными кластерами IT-работников КНДР. В декабре 2025 года компания Tether заморозила один из таких кошельков в сети TRON.
На взломанном устройстве Jerry нашли следы использования VPN и множество поддельных резюме.
В Slack-чате пользователь под ником Nami поделился статьей о дипфейк-соискателе — специалисте из Северной Кореи. Один из коллег спросил, не о них ли идет речь, а другой заметил, что им запрещено пересылать внешние ссылки.
8/ Jerry's compromised device shows usage of Astrill VPN and various fake personas applying for jobs.
An internal Slack showed 'Nami' sharing a blog post about a DPRK IT worker deepfake job applicant. A second user asked if it was them, while a third noted they aren't allowed to… pic.twitter.com/7ZdGbX91WT
— ZachXBT (@zachxbt) April 8, 2026
Jerry активно обсуждал с другим IT-работником из КНДР возможность кражи средств из проекта Arcano (игра на GalaChain) через нигерийский прокси. Удалось ли им реализовать атаку — неизвестно.
Обучение и уровень угрозы
С ноября 2025 по февраль 2026 года администратор отправил группе 43 учебных модуля Hex-Rays/IDA Pro. В тренинги входили дизассемблирование, декомпиляция, локальная и удаленная отладка, а также другие аспекты кибербезопасности.
ZachXBT отметил, что эта группа IT-специалистов из КНДР менее изощрена по сравнению с AppleJeus и TraderTraitor, которые работают эффективнее и представляют главную угрозу для индустрии.
Ранее он оценивал доходы северокорейских разработчиков в несколько миллионов долларов ежемесячно, и последние данные подтвердили эти расчеты.
«Мое непопулярное мнение: хакеры зря не атакуют низкоуровневые группы КНДР. Риск низкий, конкуренции почти нет, а цели, возможно, того стоят», — подчеркнул ончейн-детектив.
Как вычислить северокорейского хакера
Ранее в соцсети X завирусилось видео с собеседования, где IT-специалиста из КНДР попросили оскорбить главу страны Ким Чен Ына.
Here is a video of a North Korean IT worker being stopped dead in their tracks upon being required to insult Kim Jong Un.
It won't work forever, but right now it's genuinely an effective filter. I'm yet to come across one who can say it. https://t.co/8FFVPxNm8X pic.twitter.com/KXI5efMo5L
— tanuki42 (@tanuki42_) April 6, 2026
Кандидат этого не сделал — сразу после просьбы картинка зависла. Причиной могло стать то, что критика лидера уголовно наказуема в Северной Корее.
Разработчик выдавал себя за японца по имени Таро Айкути (Taro Aikuchi). На следующий день после публикации ролика он удалил свои резюме с LinkedIn и личного сайта, а также поменял ник в Telegram.
Напомним, в апреле исследовательница по безопасности MetaMask Тейлор Монахан заявила, что северокорейские IT-специалисты устраиваются в DeFi-протоколы на протяжении как минимум семи лет.
Среди затронутых лицами из КНДР проектов она выделила SushiSwap, Thorchain, Fantom, Shib, Yearn, Floki и многие другие проекты.
Под заказ
В наличии
