Điều tra viên blockchain ZachXBT đã công bố vào ngày 8 tháng 4 năm 3.5Một phân tích chi tiết về dữ liệu bị rò rỉ nội bộ từ một máy chủ thanh toán của Triều Tiên, qua đó tiết lộ một kế hoạch xử lý khoảng $1 triệu mỗi tháng bằng tiền mã hóa thông qua danh tính giả mạo, giấy tờ pháp lý bị làm giả và các hệ thống chuyển đổi crypto–fiat được phối hợp.
Bộ dữ liệu bao gồm 3.5Mài khoản, nhật ký chat và hồ sơ giao dịch từ cuối năm 2025 đến đầu năm 2026, với các địa chỉ ví được theo dõi xử lý hơn $3.5 triệu, cùng các liên kết tới ba thực thể hiện đang bị Cơ quan Kiểm soát Tài sản Nước ngoài của Bộ Tài chính Hoa Kỳ (OFAC) trừng phạt.
Dữ liệu từ máy chủ thanh toán nội bộ Tiết lộ mạng lưới được phối hợp
Một nguồn tin không nêu tên đã cung cấp dữ liệu trích xuất từ một máy chủ thanh toán nội bộ do các nhân viên CNTT của Triều Tiên (DPRK) sử dụng. Bộ dữ liệu bao gồm nhật ký chat từ IPMsg, danh sách tài khoản, lịch sử trình duyệt và hồ sơ giao dịch. Người dùng đã thảo luận về một nền tảng có tên luckyguys[.]site, được mô tả như một trung tâm chuyển tiền hoạt động như đồng thời một công cụ nhắn tin và một kênh báo cáo. Các nhân viên gửi thu nhập và nhận hướng dẫn thông qua nền tảng này.
Hệ thống có bảo mật yếu đã lộ ra: một số tài khoản dùng mật khẩu mặc định “123456” mà không thay đổi. Hồ sơ người dùng liệt kê tên tiếng Hàn, các thành phố và các mã định danh nhóm được mã hóa. Ba thực thể—Sobaeksu, Saenal và Songkwang—xuất hiện trong dữ liệu và hiện đang bị OFAC trừng phạt, qua đó liên kết mạng lưới với các hoạt động đã được nhận diện trước đó.
Một tài khoản quản trị được xác định là PC-1234 đã xác nhận các khoản thanh toán và phân phối thông tin đăng nhập tài khoản, thay đổi giữa các sàn giao dịch crypto và các nền tảng fintech tùy theo nhu cầu của người dùng.
Các mẫu giao dịch cho thấy dòng chảy nhất quán $3.5 triệu
Kể từ cuối tháng 11 năm 2025, các địa chỉ ví được theo dõi đã xử lý hơn $3.5 triệu. Mẫu chuyển tiền là nhất quán: người dùng chuyển crypto từ sàn hoặc dịch vụ, sau đó chuyển đổi thành tiền pháp định thông qua các tài khoản ngân hàng Trung Quốc hoặc các nền tảng như Payoneer. PC-1234 xác nhận việc nhận và cung cấp thông tin đăng nhập tài khoản.
Dò vết trên blockchain đã liên kết một số địa chỉ thanh toán tới các cụm DPRK đã biết. Một địa chỉ thanh toán Tron đã bị Tether đóng băng vào tháng 12 năm 2025. ZachXBT đã lập bản đồ toàn bộ cấu trúc tổ chức của mạng lưới, bao gồm tổng số thanh toán theo từng người dùng và theo nhóm, dựa trên dữ liệu giao dịch đã bị trích xuất từ tháng 12 năm 2025 đến tháng 2 năm 2026.
Danh tính giả, đào tạo và phối hợp
Dữ liệu từ thiết bị bị xâm nhập cho thấy các nhân dạng giả, đơn xin việc và hoạt động trình duyệt. Các nhân viên dựa vào các công cụ như Astrill VPN để che giấu vị trí. Các thảo luận nội bộ trên Slack nhắc đến một bài đăng blog về một ứng viên xin việc bằng deepfake. Một ảnh chụp màn hình cho thấy 33 nhân viên CNTT DPRK đang liên lạc trên cùng một mạng thông qua IPMsg.
Một nhân viên đã chủ động thảo luận về việc trộm cắp từ một dự án có tên Arcano (một game thuộc GalaChain) với một nhân viên CNTT DPRK khác thông qua một proxy của Nigeria, dù vẫn chưa rõ liệu cuộc tấn công có thành hiện thực hay không. Quản trị viên đã gửi 3.5Mô-đun đào tạo bao gồm các chủ đề về reverse engineering, trong đó có Hex‑Rays và IDA Pro, tập trung vào giải mã rời rạc (disassembly), gỡ lỗi (debugging) và phân tích mã độc (malware analysis), cho thấy quá trình phát triển kỹ thuật đang diễn ra trong chính mạng lưới đó.
So sánh với các nhóm đe dọa DPRK khác
ZachXBT nhận xét rằng cụm hoạt động của các nhân viên CNTT DPRK này ít tinh vi hơn so với các nhóm như AppleJeus và TraderTraitor, vốn vận hành hiệu quả hơn nhiều và tạo ra rủi ro lớn nhất cho ngành. Ông ước tính rằng các nhân viên CNTT DPRK tạo ra nhiều con số bảy chữ số mỗi tháng dưới dạng doanh thu, và dữ liệu ủng hộ điều đó. Ông cũng cho rằng tác nhân đe dọa đang bỏ lỡ một cơ hội khi không nhắm vào các nhóm DPRK ở bậc thấp, trích dẫn rủi ro thấp về hậu quả và mức độ cạnh tranh tối thiểu.
Câu hỏi thường gặp
ZachXBT đã phơi bày dữ liệu gì về các nhân viên CNTT Triều Tiên?
ZachXBT đã công bố dữ liệu nội bộ từ một máy chủ thanh toán của DPRK bị xâm nhập, bao gồm 3.5Mài khoản, nhật ký chat, hồ sơ giao dịch và các danh tính giả. Dữ liệu cho thấy một kế hoạch xử lý khoảng $1 triệu mỗi tháng bằng tiền mã hóa, với các ví được theo dõi xử lý hơn $3.5 triệu kể từ cuối năm 2025.
Những công ty nào được xác định là một phần của mạng lưới?
Ba thực thể—Sobaeksu, Saenal và Songkwang—xuất hiện trong dữ liệu và hiện đang bị Cơ quan Kiểm soát Tài sản Nước ngoài của Bộ Tài chính Hoa Kỳ (OFAC) trừng phạt, liên kết mạng lưới với các hoạt động DPRK đã được nhận diện trước đó.
Những tài liệu đào tạo nào được tìm thấy trong dữ liệu?
Quản trị viên đã gửi 3.5Mô-đun đào tạo bao gồm reverse engineering, disassembly, decompilation, gỡ lỗi cục bộ và từ xa, và phân tích mã độc bằng các công cụ như Hex‑Rays và IDA Pro, cho thấy quá trình phát triển kỹ thuật đang diễn ra trong mạng lưới.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
