A kriptovaluta-nyomozó ZachXBT 2026. április 8-án közzétett elemzésében egy észak-koreai IT-munkásokhoz köthető belső fizetési rendszert azonosított. A kiszivárgott adatok több mint 390 fiókot, üzenetnaplókat és tranzakciós előzményeket tartalmaztak.
A feltárás azután történt, hogy április 1-jén egy 285 millió dolláros támadást a Drift Protocol ellen az UNC4736 jelű, Észak-Koreához köthető hackercsoportnak tulajdonítottak. A héten több biztonsági kutató is beszámolt arról, hogy észak-koreai IT-munkások évek óta dolgozhattak decentralizált pénzügyi projektekben.
ZachXBT egy névtelen forrástól kapta meg az adatokat, amelyek egy fertőzött eszközről származtak. A Democratic People’s Republic of Korea egyik IT-munkásának készülékére információlopó kártevő került, amely IPMsg chatnaplókat, hamis identitásokat és böngészési előzményeket szivárogtatott ki.
Belső fizetési platform és 3,5 millió dolláros forgalom
A kiszivárgott adatokban szerepelt a luckyguys.site nevű weboldal, amely belső fizetési központként működhetett. A platformon az operátorok jelentették kriptovaluta-kifizetéseiket, és egyeztettek a feletteseikkel.
1/ Recently an unnamed source shared data exfiltrated from an internal North Korean payment server containing 390 accounts, chat logs, crypto transactions.
I spent long hours going through all of it, none of which has ever been publicly released.
It revealed an intricate… pic.twitter.com/aTybOrwMHq
— ZachXBT (@zachxbt) April 8, 2026
A vizsgálat során kiderült, hogy a rendszer alapértelmezett jelszava „123456” volt, és az adatok kinyerésekor tíz fiók még mindig ezt használta. A felhasználói lista koreai neveket, szerepköröket és csoportkódokat tartalmazott, amelyek megfelelnek a korábban azonosított észak-koreai IT-struktúráknak.
A dokumentumokban szereplő három vállalat, a Sobaeksu, a Saenal és a Songkwang már korábban is szankciók alatt állt az amerikai hatóságok szerint. A beszélgetésekben egy „Rascal” nevű felhasználó és a PC-1234 adminisztrátori fiók közötti üzenetek részletezték a kifizetéseket 2025 decemberétől 2026 áprilisáig.
3/ The site's default password was 123456, which remained unchanged for ten users.
The user list included roles, Korean names, cities, and coded group names consistent with DPRK IT worker operations.
Three companies which appeared are currently OFAC sanctioned: Sobaeksu,… pic.twitter.com/rKYS0TR9BL
— ZachXBT (@zachxbt) April 8, 2026
A naplók szerint 2025 novemberének vége óta több mint 3,5 millió dollár érkezett a fizetési pénztárcákba. A mintázat egységes volt: a felhasználók kriptovalutát küldtek tőzsdékről vagy szolgáltatóktól, illetve kínai bankszámlákon keresztül váltották át fiat pénzre olyan platformok segítségével, mint a Payoneer.
A beérkező összegeket a PC-1234 adminisztrátori fiók igazolta, majd belépési adatokat adott át különböző kriptotőzsdékhez vagy fintech alkalmazásokhoz.
Szervezeti struktúra és további nyomok
ZachXBT a teljes adatkészlet alapján rekonstruálta a hálózat szervezeti felépítését. A blokklánc-vizsgálat több, korábban azonosított észak-koreai csoporthoz vezetett. Egy Tron-alapú pénztárcát 2025 decemberében befagyasztott a Tether.
A feltört eszközön Astrill VPN használatát és több hamis identitást is azonosítottak. Egy belső Slack-munkaterületen egy „Nami” nevű felhasználó megosztott egy bejegyzést egy deepfake állásjelentkezőről, amely észak-koreai IT-munkásokhoz kapcsolódott.
Az üzenetek szerint egy „Jerry” nevű felhasználó egy projekt elleni lopás lehetőségéről is egyeztetett, nigériai proxy használatával. A célpontként az Arcano nevű, GalaChain-alapú játék szerepelt, de a támadás megvalósulása nem tisztázott.
A csoport 2025 novembere és 2026 februárja között 43 Hex-Rays és IDA Pro képzési anyagot is megosztott, amelyek visszafejtési és hibakeresési technikákra fókuszáltak.
ZachXBT szerint a vizsgált csoport kevésbé kifinomult, mint más észak-koreai műveletek, például az AppleJeus vagy a TraderTraitor. A kutató korábbi becslését is megerősítette az adatkészlet, amely alapján az észak-koreai IT-munkások havi szinten több millió dollárt generálhatnak.
A nyilvánosságra hozatal után 2026. április 9-én a belső fizetési portált lekapcsolták. A teljes adatkészletet azonban előzetesen archiválták. A feltárás rávilágít arra, hogy a kriptovaluták egyre nagyobb szerepet töltenek be geopolitikai háttérgazdaságokban és határokon átnyúló pénzügyi hálózatokban.
A kriptomagazin.hu oldalon található információk és elemzések a szerzők magánvéleményét tükrözik. A jelen oldalon megjelenő írások, cikkek nem valósítanak meg a 2007. évi CXXXVIII. törvény (Bszt.) 4. § (2). bek 8. pontja szerinti befektetési elemzést és a 9. pont szerinti befektetési tanácsadást. Bármely befektetési döntés meghozatala során az adott befektetés megfelelőségét csak az adott befektető személyére szabott vizsgálattal lehet megállapítani, melyre a jelen oldal nem vállalkozik és nem is alkalmas. Az egyes befektetési döntések előtt éppen ezért tájékozódjon részletesen és több forrásból, szükség esetén konzultáljon befektetési tanácsadóval!
A cikkekben megjelenő esetleges hibákért téves információkból eredendő anyagi károkért a kriptomagazin.hu felelősséget nem vállal.
