O investigador de blockchain ZachXBT publicou a 8 de abril de 2026 uma análise detalhada de dados internos exfiltrados a partir de um servidor de pagamentos norte-coreano, revelando um esquema que processava aproximadamente $1 milhão por mês em criptomoeda através de identidades falsas, documentos legais falsificados e sistemas coordenados de conversão cripto‑para‑fiat.
O conjunto de dados inclui 390 contas, registos de conversas e registos de transações de finais de 2025 a inícios de 2026, com endereços de carteira monitorizados a processar mais de $3,5 milhões, e ligações a três entidades atualmente sancionadas pelo U.S. Office of Foreign Assets Control (OFAC).
Os dados do servidor de pagamentos internos revelam uma rede coordenada
Uma fonte não identificada forneceu dados extraídos de um servidor de pagamentos interno utilizado por trabalhadores de TI norte-coreanos (DPRK). O conjunto de dados inclui registos de conversas do IPMsg, listas de contas, histórico de navegadores e registos de transações. Os utilizadores discutiram uma plataforma chamada luckyguys[.]site, descrita como um hub de remessas que funcionava tanto como ferramenta de mensagens como canal de reporte. Os trabalhadores apresentaram rendimentos e receberam instruções através desta plataforma.
A fraca segurança expôs o sistema: várias contas usavam a palavra‑passe predefinida “123456” sem alterações. Os registos de utilizadores listavam nomes coreanos, cidades e identificadores codificados de grupos. Três entidades—Sobaeksu, Saenal e Songkwang—apareceram nos dados e estão atualmente sob sanções da OFAC, ligando a rede a operações previamente identificadas.
Uma conta administrativa identificada como PC-1234 confirmou pagamentos e distribuiu credenciais de conta, que variavam entre bolsas de criptomoedas e plataformas de fintech consoante as necessidades dos utilizadores.
Os padrões de transação mostram um fluxo consistente de $3,5 milhões
Desde finais de novembro de 2025, os endereços de carteira monitorizados processaram mais de $3,5 milhões. O padrão de remessas foi consistente: os utilizadores transferiam cripto de bolsas ou serviços e, depois, convertiam-na em moeda fiduciária através de contas bancárias chinesas ou plataformas como a Payoneer. PC-1234 confirmou a receção e forneceu credenciais de conta.
O rastreio em blockchain ligou vários endereços de pagamento a clusters DPRK conhecidos. Um endereço de pagamento Tron foi congelado pela Tether em dezembro de 2025. ZachXBT mapeou toda a estrutura organizacional da rede, incluindo totais de pagamento por utilizador e por grupo, com base em dados de transações recolhidos entre dezembro de 2025 e fevereiro de 2026.
Identidades falsas, formação e coordenação
Os dados de dispositivos comprometidos revelaram personas falsas, candidaturas a emprego e atividade de browser. Os trabalhadores recorriam a ferramentas como a Astrill VPN para mascarar localizações. Discussões internas no Slack faziam referência a uma publicação no blogue sobre um candidato a emprego com deepfake. Uma captura de ecrã mostrou 33 trabalhadores de TI DPRK a comunicarem na mesma rede via IPMsg.
Um trabalhador discutiu ativamente o roubo a um projeto chamado Arcano (um jogo da GalaChain) com outro trabalhador de TI DPRK via um proxy nigeriano, embora permaneça incerto se o ataque se concretizou. O administrador enviou 3.5Módulos de formação que abrangiam tópicos de engenharia reversa, incluindo Hex‑Rays e IDA Pro, focando desmontagem, depuração e análise de malware, indicando um desenvolvimento técnico contínuo dentro da rede.
Comparação com outros grupos de ameaça DPRK
ZachXBT assinalou que este cluster de atividade de trabalhadores de TI DPRK é menos sofisticado em comparação com grupos como AppleJeus e TraderTraitor, que operam de forma muito mais eficiente e representam os maiores riscos para a indústria. Estimou que os trabalhadores de TI DPRK geram números múltiplos de sete dígitos por mês em receitas, e os dados suportam isso. Também sugeriu que os agentes de ameaça estão a deixar uma oportunidade ao não visarem grupos DPRK de baixo escalão, citando o baixo risco de represálias e a concorrência mínima.
FAQ
Que dados é que a ZachXBT expôs sobre trabalhadores de TI norte-coreanos?
ZachXBT publicou dados internos de um servidor de pagamentos DPRK comprometido, incluindo 390 contas, registos de conversas, registos de transações e identidades falsas. Os dados revelaram um esquema que processava aproximadamente $1 milhão por mês em criptomoeda, com carteiras monitorizadas a tratar mais de $3,5 milhões desde finais de 2025.
Que empresas foram identificadas como parte da rede?
Três entidades—Sobaeksu, Saenal e Songkwang—apareceram nos dados e estão atualmente sancionadas pelo U.S. Office of Foreign Assets Control (OFAC), ligando a rede a operações DPRK previamente identificadas.
Que materiais de formação foram encontrados nos dados?
O administrador enviou 3.5Módulos de formação que abrangiam engenharia reversa, desmontagem, descompilação, depuração local e remota e análise de malware com recurso a ferramentas como Hex‑Rays e IDA Pro, indicando um desenvolvimento técnico contínuo dentro da rede.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
