ZachXBT 揭露北韓 IT 工作者網路數據，顯示 350 萬美元加密資金流動

區塊鏈調查員 ZachXBT 於 2026 年 4 月 8 日發布一份針對從北韓支付伺服器外流的內部資料之詳盡分析，揭示一項詐計：透過假身分、偽造法律文件，以及協調的加密貨幣到法幣轉換系統，每月處理約 $1 百萬的加密貨幣。

該資料集包含 390 個帳戶、聊天紀錄以及交易記錄，時間範圍涵蓋 2025 年年底至 2026 年初；追蹤到的錢包地址合計處理金額超過 $3.5 百萬，並附有連結至目前已被美國海外資產控制辦公室 (OFAC) 制裁的三個實體的資訊。

內部支付伺服器資料揭示協調的網路

一名未具名來源提供了從北韓 (DPRK) IT 人員使用的內部支付伺服器中擷取出來的資料。該資料集包含來自 IPMsg 的聊天紀錄、帳戶清單、瀏覽器歷史，以及交易記錄。使用者討論了一個名為 luckyguys[.]site 的平台，該平台被描述為匯款樞紐，兼具通訊工具與通報管道的功能。工人透過此平台提交收入並獲得指示。

系統的薄弱安全性暴露出問題：多個帳戶在未變更的情況下使用預設密碼「123456」。使用者記錄列出韓國姓名、城市以及編碼的群組識別碼。三個實體——Sobaeksu、Saenal 與 Songkwang——出現在該資料中，且目前正受到 OFAC 制裁，將該網路連結到先前被辨識的行動。

一個被辨識為 PC-1234 的管理帳戶確認付款並分發帳戶憑證；憑證會依據使用者需求在加密貨幣交易所與金融科技平台之間有所不同。

交易模式顯示穩定的 $3.5 百萬流量

自 2025 年 11 月下旬以來，追蹤到的錢包地址已處理超過 $3.5 百萬。匯款模式相當一致：使用者先從交易所或服務中轉移加密貨幣，接著再透過中國的銀行帳戶或像 Payoneer 這樣的平台將其轉換為法幣。PC-1234 確認收到款項並提供帳戶憑證。

區塊鏈追蹤將多個付款地址連結到已知的 DPRK 集群。其中一個 Tron 付款地址在 2025 年 12 月被 Tether 凍結。ZachXBT 根據 2025 年 12 月至 2026 年 2 月期間從被擷取的交易資料所繪製出的完整組織架構，包含每位使用者與每個群組的付款總額。

假身分、訓練與協調

遭入侵的裝置資料揭示了假人設、求職申請以及瀏覽器活動。工人依賴像 Astrill VPN 這樣的工具來遮蔽所在地點。內部 Slack 討論提到一篇關於深偽求職者的部落格文章。某張截圖顯示 33 位 DPRK IT 工人在同一網路上透過 IPMsg 進行通訊。

一名工人正與另一位 DPRK IT 工人透過一個尼日利亞代理積極討論從名為 Arcano（GalaChain 遊戲）的專案偷取資金；不過目前仍不清楚該攻擊是否真的付諸實施。管理員傳送了 43 套訓練模組，涵蓋逆向工程主題，包括 Hex‑Rays 與 IDA Pro，重點在於反組譯、除錯與惡意程式分析，顯示該網路內持續的技術開發。

與其他 DPRK 威脅團體的比較

ZachXBT 指出，這個 DPRK IT 工作者活動集群的技術成熟度較低，較諸 AppleJeus 與 TraderTraitor 等團體，其運作效率更高，且對產業帶來最大的風險。他估計 DPRK IT 工作者每月在營收上能達到數個七位數的規模，而資料也支持這一點。他也表示，威脅行為者正留下了一個機會：並未鎖定低階的 DPRK 團體，原因在於承受的懲處風險較低、且競爭程度最小。

常見問題

ZachXBT 揭露了關於北韓 IT 工作者哪些資料？

ZachXBT 發布了來自遭入侵的 DPRK 支付伺服器的內部資料，內容包含 390 個帳戶、聊天紀錄、交易記錄以及假身分。該資料揭示一項詐計：每月處理約 $1 百萬的加密貨幣，且自 2025 年年底以來，追蹤到的錢包處理金額已超過 $3.5 百萬。

網路中被辨識出來有哪些公司／實體？

三個實體——Sobaeksu、Saenal 與 Songkwang——出現在該資料中，且目前正受到美國海外資產控制辦公室 (OFAC) 制裁，將該網路連結到先前被辨識的 DPRK 行動。

資料中發現了哪些訓練素材？

管理員在該資料中傳送了 43 套訓練模組，內容涵蓋逆向工程、反組譯（disassembly）、反編譯（decompilation）、本地與遠端除錯，以及使用 Hex‑Rays 與 IDA Pro 等工具進行惡意程式分析，顯示該網路內持續的技術開發。