“`html
Фахівці з інформаційних технологій із Північної Кореї, маскуючись під звичайних програмістів, інфільтруються в криптографічні проєкти з метою подальшого їхнього злому. Про це проінформував ончейн-розслідувач ZachXBT.
1/ Нещодавно неназване джерело поділилося даними, ексфільтрованими з внутрішнього північнокорейського платіжного сервера, що містили 390 акаунтів, журнали чатів, криптотрaнзакції.
Я провів довгі години, переглядаючи все це, нічого з цього раніше публічно не розкривалося.
Це розкрило витончену… pic.twitter.com/aTybOrwMHq
— ZachXBT (@zachxbt) April 8, 2026
Анонімне джерело надало експерту інформацію з внутрішнього розрахункового серверу КНДР. Витік містив 390 акаунтів, переписку та криптовалютні операції.
«Я витратив час на вивчення цих відомостей. Вони ще ніколи не оприлюднювалися. Схема виявилася складною: підроблені особистості, фальшиві документи та обмін крипти у фіат приблизно на $1 млн щомісяця», — зазначив фахівець.
Як реалізується схема
У одного з ІТ-фахівців КНДР під псевдонімом Jerry зламали комп’ютер. Отримані відомості містили логи листування месенджера IPMsg, фіктивні профілі фахівців та історію браузера.
Аналіз показав, що на сайті luckyguys[.]site — внутрішній розрахунковій платформі з оформленням у стилі Discord — шахраї звітували кураторам про отримані платежі. Стандартний пароль — «123456» — залишився незмінним для десяти користувачів.
У їхніх акаунтах ZachXBT виявив ролі, корейські імена, міста та кодові найменування груп, що вказували на діяльність розробників із КНДР.
3/ Стандартним паролем на сайті був 123456, і він залишався незмінним у десяти користувачів.
Список користувачів включав ролі, корейські імена, міста та кодові назви груп, що узгоджується з операціями ІТ-працівників КНДР.
Три компанії, які з’явилися, наразі під санкціями OFAC: Sobaeksu,… pic.twitter.com/rKYS0TR9BL
— ZachXBT (@zachxbt) April 8, 2026
Три фірми, згадані у звіті, — Sobaeksu, Saenal і Songkwang — підпадають під санкції OFAC.
Відразу після публікації розслідування ресурс luckyguys[.]site став недоступним.
Update: Внутрішній платіжний сайт КНДР відтоді було прибрано після мого допису.
Втім усі дані були заздалегідь заархівовані. pic.twitter.com/9cRdopal5g
— ZachXBT (@zachxbt) April 9, 2026
Подробиці операцій
З грудня 2025 по квітень 2026 року користувач WebMsg під псевдо Rascal у листуванні з PC-1234 обговорював транзакції платежів і створення фальшивих ідентичностей. Усі операції здійснювалися через акаунт адміністратора серверу PC-1234, який їх підтверджував.
4/ Ось один із користувачів WebMsg «Rascal» та їхні особисті повідомлення з PC-1234 із деталями переказів платежів і використанням шахрайських особистостей із грудня 2025 по квітень 2026.
Усі платежі обробляються та підтверджуються через адмін-акаунт сервера: PC-1234.
Адреси в Гон… pic.twitter.com/akyjmTbL5J
— ZachXBT (@zachxbt) April 8, 2026
Рахунки та послуги оплачувалися через адреси в Гонконгу (їхню справжність ще встановлюють). З кінця листопада 2025 року на ці гаманці надійшло понад $3,5 млн.
Схема переказів була ідентичною: користувачі або надсилали криптовалюту з біржі чи сервісу, або перетворювали її у фіат за допомогою китайських банківських рахунків через платформи на кшталт Payoneer.
Структура та спроби злому
Ґрунтуючись на зібраних відомостях, ZachXBT відновив повну організаційну структуру мережі, включно з деталізацією виплат кожному користувачеві та групі в період із грудня 2025 по лютий 2026 року.
Аналіз внутрішніх операцій показав ончейн-зв’язки з декількома відомими групами ІТ-фахівців КНДР. У грудні 2025 року компанія Tether заблокувала один із таких гаманців у мережі TRON.
На зламаному пристрої Jerry виявили сліди використання VPN і велику кількість фальшивих резюме.
У Slack-чаті користувач під ніком Nami поділився публікацією про дипфейк-співробітника — ІТ-фахівця з Північної Кореї. Один із колег запитав, чи не про них ідеться, а інший зауважив, що їм не дозволено пересилати зовнішні посилання.
8/ Компрометований пристрій Jerry показує використання Astrill VPN і різних фейкових персон, які подаються на роботу.
Внутрішній Slack показав, що «Nami» поділився блог-постом про дипфейк-здобувача на роботу — ІТ-працівника КНДР. Другий користувач запитав, чи це були вони, тоді як третій зауважив, що їм не дозволено… pic.twitter.com/7ZdGbX91WT
— ZachXBT (@zachxbt) April 8, 2026
Jerry активно обговорював із іншим ІТ-працівником КНДР можливість викрадення коштів із проєкту Arcano (гра на GalaChain) через нігерійський проксі. Чи вдалося реалізувати атаку — невідомо.
Навчання та рівень загрози
З листопада 2025 по лютий 2026 року адміністратор надіслав групі 43 навчальні модулі Hex-Rays/IDA Pro. У тренінги входили асемблювання, зворотна розробка, локальне й віддалене налагодження, а також інші аспекти кібербезпеки.
ZachXBT відзначив, що ця група ІТ-спеціалістів із КНДР менш професійна у порівнянні з AppleJeus і TraderTraitor, які діють ефективніше та становлять головну небезпеку для індустрії.
Раніше він оцінював прибутки північнокорейських розробників у декілька мільйонів доларів щомісячно, і останні відомості підтвердили ці підрахунки.
«Моя непопулярна думка: хакери дарма не атакують низькорівневі групи КНДР. Ризик невеликий, конкуренції майже немає, а цілі, можливо, варті того», — підкреслив ончейн-розслідувач.
Як визначити північнокорейського хакера
Раніше в соціальній мережі X стало вірусним відео зі співбесіди, де ІТ-фахівця з КНДР попросили образити главу держави Кім Чен Ина.
Here is a video of a North Korean IT worker being stopped dead in their tracks upon being required to insult Kim Jong Un.
It won’t work forever, but right now it’s genuinely an effective filter. I’m yet to come across one who can say it. https://t.co/8FFVPxNm8X pic.twitter.com/KXI5efMo5L
— tanuki42 (@tanuki42_) April 6, 2026
Кандидат цього не зробив — одразу після прохання зображення «зависло». Причиною могло бути те, що критика керівника в Північній Кореї є караною.
Розробник видавав себе за японця на ім’я Таро Айкучі (Taro Aikuchi). Наступного дня після виходу ролика він видалив свої резюме з LinkedIn і особистого сайту, а також поміняв нік у Telegram.
Нагадаємо, у квітні дослідниця з безпеки MetaMask Тейлор Монахан заявила, що північнокорейські ІТ-фахівці влаштовуються в DeFi-протоколи щонайменше сім років.
Серед проєктів, до яких мали відношення особи з КНДР, вона назвала SushiSwap, Thorchain, Fantom, Shib, Yearn, Floki та багато інших.
“`