Παραβίαση Δικτύου IT της DPRK Αποκαλύπτει Απατηλό Σχήμα $1M/Μήνα

• Εργαζόμενοι IT της ΛΔΚΔ διαχειρίζονταν ένα δίκτυο απάτης κρυπτονομισμάτων $1 εκατ./μήνα με δομημένες διαδικασίες.
• Αδύναμοι κωδικοί πρόσβασης και εταιρείες στη λίστα του OFAC αποκάλυψαν σημαντικές επιχειρησιακές ευπάθειες.
• Αρχεία εκπαίδευσης αποκαλύπτουν οργανωμένη αντίστροφη μηχανική και απάτη ταυτότητας για έσοδα.

Μια πρόσφατη έρευνα από τον αναλυτή blockchain ZachXBT αποκάλυψε μια μεγάλης κλίμακας εσωτερική παραβίαση που συνδέεται με εργαζόμενους IT της Βόρειας Κορέας. Τα διαρρεύσαντα δεδομένα αποκάλυψαν ένα δίκτυο 390 λογαριασμών, αρχείων συνομιλιών και συναλλαγών κρυπτονομισμάτων. 

Επιπλέον, τα ευρήματα αποκαλύπτουν ένα συντονισμένο σύστημα που επεξεργαζόταν περίπου $1 εκατ. ανά μήνα μέσω δόλιων ταυτοτήτων και οικονομικής εξαπάτησης. Κατά συνέπεια, η παραβίαση παρέχει σπάνια ορατότητα στον τρόπο λειτουργίας αυτών των επιχειρήσεων παρασκηνιακά.

Ο ZachXBT ανέφερε ότι μια ανώνυμη πηγή παρείχε τα δεδομένα αφού παραβίασε μια συσκευή που συνδέεται με έναν εργαζόμενο IT της ΛΔΚΔ. Η μόλυνση προήλθε από ένα infostealer, το οποίο εξήγαγε αρχεία συνομιλιών IPMsg, ιστορικό περιήγησης και αρχεία ταυτότητας. 

Επιπρόσθετα, τα αρχεία αποκάλυψαν μια πλατφόρμα που ονομάζεται luckyguys[.]site, η οποία λειτουργούσε ως κόμβος εσωτερικής επικοινωνίας. Αυτό το σύστημα λειτουργούσε σαν μια ιδιωτική υπηρεσία μηνυμάτων για αναφορά πληρωμών και συντονισμό δραστηριοτήτων.

Υποδομή Πληρωμών και Επιχειρησιακή Ροή

Τα δεδομένα δείχνουν μια δομημένη διαδικασία πληρωμών που συνδέει ροές κρυπτονομισμάτων με μετατροπή σε fiat. Οι χρήστες μετέφεραν κεφάλαια από ανταλλακτήρια ή μετέτρεπαν περιουσιακά στοιχεία μέσω κινεζικών τραπεζικών λογαριασμών και fintech πλατφορμών όπως το Payoneer. Επομένως, το δίκτυο διατηρούσε σταθερή ρευστότητα σε πολλαπλά κανάλια.

Σημαντικά, ο εσωτερικός διακομιστής χρησιμοποιούσε έναν αδύναμο προεπιλεγμένο κωδικό πρόσβασης, 123456, σε πολλούς λογαριασμούς. Αυτή η παράλειψη αποκάλυψε σοβαρά κενά ασφαλείας μέσα στο σύστημα. 

Η πλατφόρμα περιελάμβανε ρόλους χρηστών, κορεατικά ονόματα και δεδομένα τοποθεσίας, τα οποία ευθυγραμμίζονταν με γνωστές δομές εργαζομένων IT της ΛΔΚΔ. Επιπλέον, τρεις εταιρείες που συνδέονται με το δίκτυο εμφανίστηκαν στις λίστες κυρώσεων του OFAC, συμπεριλαμβανομένων των Sobaeksu, Saenal και Songkwang.

Ο ZachXBT εντόπισε πάνω από $3,5 εκατ. σε συναλλαγές που ρέουν σε σχετικές διευθύνσεις πορτοφολιών από τα τέλη Νοεμβρίου 2025. Το συνεπές μοτίβο περιελάμβανε κεντρική επιβεβαίωση από έναν λογαριασμό διαχειριστή με την ετικέτα PC-1234. Αυτός ο λογαριασμός επικύρωνε πληρωμές και διανέμει διαπιστευτήρια για ανταλλακτήρια και fintech πλατφόρμες.

Επιπρόσθετα, ένα πορτοφόλι Tron που συνδέεται με τη λειτουργία αντιμετώπισε πάγωμα από το Tether τον Δεκέμβριο 2025. Αυτή η ενέργεια ανέδειξε την αυξανόμενη πίεση επιβολής σε παράνομη δραστηριότητα κρυπτονομισμάτων που συνδέεται με ομάδες υποστηριζόμενες από κράτη.

Επιχειρησιακό Βάθος και Δραστηριότητες Εκπαίδευσης

Η παραβίαση αποκάλυψε επίσης εσωτερικές συζητήσεις και εκπαιδευτικά υλικά. Ένα εσωτερικό κανάλι Slack έδειξε 33 εργαζόμενους IT της ΛΔΚΔ να επικοινωνούν ταυτόχρονα μέσω IPMsg. Επιπλέον, οι διαχειριστές διένειμαν 43 εκπαιδευτικές ενότητες σε εργαλεία όπως το IDA Pro και Hex-Rays.

Αυτά τα υλικά κάλυπταν τεχνικές αντίστροφης μηχανικής, εντοπισμού σφαλμάτων και εκμετάλλευσης λογισμικού. Κατά συνέπεια, η ομάδα επέδειξε δομημένη εκπαίδευση παρά τον περιορισμένο εξελιγμένο επίπεδο σε σύγκριση με προηγμένες ομάδες όπως οι AppleJeus ή TraderTraitor. Ωστόσο, η κλίμακα των λειτουργιών εξακολουθούσε να δημιουργεί σημαντικές ροές εσόδων.

Τα διαρρεύσαντα αρχεία αναφέρονταν επίσης σε προσπάθειες χρήσης ψεύτικων ταυτοτήτων και εφαρμογών deepfake για διείσδυση σε θέσεις εργασίας. Επιπλέον, ορισμένες συνομιλίες κάλυπταν τη στόχευση πλατφορμών gaming και χρηματοοικονομικών υπηρεσιών.

Σχετικό: Η SBI Ripple Asia Ολοκλήρωσε την Πλατφόρμα Έκδοσης Token της στο XRP Ledger (XRPL)