Der Blockchain-Ermittler ZachXBT veröffentlichte am 8. April 2026 eine detaillierte Analyse interner Daten, die aus einem nordkoreanischen Zahlungsserver exfiltriert wurden, und deckte dabei ein System auf, das ungefähr $1 Million pro Monat in Kryptowährung über gefälschte Identitäten, gefälschte juristische Dokumente und koordinierte Krypto-zu-Fiat-Umwandlungssysteme verarbeitet.
Der Datensatz umfasst 390 Konten, Chat-Protokolle und Transaktionsaufzeichnungen von Ende 2025 bis in das Frühjahr 2026, wobei verfolgte Wallet-Adressen über $3,5 Millionen verarbeiteten, sowie Verbindungen zu drei Einrichtungen, die derzeit vom U.S. Office of Foreign Assets Control (OFAC) sanktioniert sind.
Interne Zahlungsserver-Daten zeigen ein koordiniertes Netzwerk auf
Eine ungenannte Quelle stellte Daten bereit, die aus einem internen Zahlungsserver extrahiert wurden, der von nordkoreanischen (DPRK) IT-Mitarbeitern genutzt wird. Der Datensatz enthält Chat-Protokolle aus IPMsg, Kontolisten, Browserverläufe und Transaktionsaufzeichnungen. Nutzer besprachen eine Plattform namens luckyguys[.]site, die als ein Remittance-Hub beschrieben wurde, der sowohl als Messaging-Tool als auch als Reporting-Kanal fungierte. Mitarbeiter reichten Einnahmen ein und erhielten Anweisungen über diese Plattform.
Schwache Sicherheitsmaßnahmen machten das System verwundbar: Mehrere Konten nutzten das Standardpasswort „123456“, ohne Änderungen vorzunehmen. In den Nutzeraufzeichnungen wurden koreanische Namen, Städte und codierte Gruppenkennung(en) aufgelistet. Drei Entitäten—Sobaeksu, Saenal und Songkwang—tauchten in den Daten auf und unterliegen derzeit OFAC-Sanktionen, wodurch das Netzwerk mit zuvor identifizierten Operationen verknüpft wird.
Ein administratives Konto, das als PC-1234 identifiziert wurde, bestätigte Zahlungen und verteilte Kontozugangsdaten, die sich je nach Bedarf der Nutzer zwischen Krypto-Börsen und Fintech-Plattformen unterschieden.
Transaktionsmuster zeigen konstanten $3,5-Millionen-Flow
Seit Ende November 2025 haben verfolgte Wallet-Adressen über $3,5 Millionen verarbeitet. Das Remittance-Muster war konsistent: Nutzer transferierten Krypto von Börsen oder Diensten, konvertierten sie anschließend zu Fiat über chinesische Bankkonten oder Plattformen wie Payoneer. PC-1234 bestätigte den Empfang und stellte Kontozugangsdaten bereit.
Blockchain-Tracing verknüpfte mehrere Zahlungsadressen mit bekannten DPRK-Clusters. Eine Tron-Zahlungsadresse wurde im Dezember 2025 von Tether eingefroren. ZachXBT ordnete die vollständige Organisationsstruktur des Netzwerks zu, einschließlich der Zahlungssummen pro Nutzer und Gruppe, basierend auf aus Transaktionsdaten geschabten Informationen von Dezember 2025 bis Februar 2026.
Falsche Identitäten, Schulung und Koordination
Genaue Gerätedaten enthüllten Scheinpersonen, Bewerbungen und Browseraktivitäten. Mitarbeiter nutzten Tools wie Astrill VPN, um Standorte zu verschleiern. Interne Slack-Diskussionen verwiesen auf einen Blogbeitrag über einen Deepfake-Bewerber. Ein Screenshot zeigte 33 DPRK-IT-Mitarbeiter, die im selben Netzwerk über IPMsg kommunizierten.
Ein Mitarbeiter diskutierte aktiv das Stehlen aus einem Projekt namens Arcano (ein GalaChain-Spiel) mit einem anderen DPRK-IT-Mitarbeiter über einen nigerianischen Proxy, obwohl unklar bleibt, ob der Angriff zustande kam. Der Admin schickte 43 Schulungsmodule, die Themen zur Reverse Engineering abdeckten, darunter Hex‑Rays und IDA Pro, mit Fokus auf Disassemblierung, Debugging und Malware-Analyse. Das deutet auf eine fortlaufende technische Weiterentwicklung innerhalb des Netzwerks hin.
Vergleich mit anderen DPRK-Bedrohungsgruppen
ZachXBT stellte fest, dass dieser Cluster an DPRK-IT-Mitarbeiteraktivität im Vergleich zu Gruppen wie AppleJeus und TraderTraitor weniger ausgefeilt ist, die viel effizienter arbeiten und die größten Risiken für die Branche darstellen. Er schätzte, dass DPRK-IT-Mitarbeiter jeden Monat mehrere siebenstellige Beträge als Einnahmen generieren, und die Daten stützen diese Einschätzung. Außerdem schlug er vor, dass Bedrohungsakteure eine Möglichkeit auslassen, indem sie keine niedrigstufigen DPRK-Gruppen ins Visier nehmen; er führte dafür ein geringes Risiko für Konsequenzen und minimale Konkurrenz an.
FAQ
Welche Daten hat ZachXBT über nordkoreanische IT-Mitarbeiter offengelegt?
ZachXBT veröffentlichte interne Daten aus einem kompromittierten DPRK-Zahlungsserver, einschließlich 390 Konten, Chat-Protokollen, Transaktionsaufzeichnungen und gefälschten Identitäten. Die Daten deckten ein System auf, das ungefähr $1 Million pro Monat in Kryptowährung verarbeitet, wobei verfolgte Wallets seit Ende 2025 über $3,5 Millionen abwickelten.
Welche Unternehmen wurden als Teil des Netzwerks identifiziert?
Drei Entitäten—Sobaeksu, Saenal und Songkwang—tauchten in den Daten auf und unterliegen derzeit Sanktionen durch das U.S. Office of Foreign Assets Control (OFAC), wodurch das Netzwerk mit zuvor identifizierten DPRK-Operationen verknüpft wird.
Welche Schulungsmaterialien wurden in den Daten gefunden?
Der Admin sandte 43 Schulungsmodule zu Reverse Engineering, Disassemblierung, Dekompilation, lokalem und remote Debugging sowie Malware-Analyse unter Verwendung von Tools wie Hex‑Rays und IDA Pro. Das weist auf eine fortlaufende technische Weiterentwicklung innerhalb des Netzwerks hin.
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
