Nhà điều tra blockchain ZachXBT đã đăng một chuỗi bài viết gồm 11 phần vào ngày 8 tháng 4 năm 2026, vạch trần dữ liệu bị đánh cắp được trích xuất từ một máy chủ thanh toán nội bộ của Triều Tiên, được sử dụng bởi các nhân viên CNTT của DPRK, cho thấy hơn 3,5 triệu USD các khoản thanh toán đã được xử lý kể từ cuối tháng 11 năm 2025.
Những điểm chính:
- Cuộc điều tra ngày 8 tháng 4 của ZachXBT đã phơi bày một máy chủ thanh toán của các nhân viên CNTT thuộc DPRK, đã xử lý hơn 3,5 triệu USD kể từ cuối tháng 11 năm 2025.
- Ba thực thể bị OFAC trừng phạt, Sobaeksu, Saenal và Songkwang, xuất hiện trong danh sách người dùng bị xâm phạm từ luckyguys.site.
- Trang web nội bộ của DPRK đã ngừng hoạt động vào ngày 9 tháng 4 năm 2026, nhưng ZachXBT đã lưu trữ toàn bộ dữ liệu trước khi đăng chuỗi bài 11 phần.
Tin tặc Triều Tiên đã dùng mật khẩu mặc định “123456” trên máy chủ thanh toán crypto nội bộ
Dữ liệu bị rò rỉ đến từ thiết bị của một nhân viên CNTT DPRK bị xâm nhập bởi mã độc infostealer. Một nguồn tin không được nêu tên đã chia sẻ các tệp với ZachXBT, người xác nhận rằng tài liệu này chưa từng được công bố công khai. Các bản ghi trích xuất bao gồm khoảng 390 tài khoản, nhật ký trò chuyện IPMsg, các danh tính bị bịa đặt, lịch sử trình duyệt và các bản ghi giao dịch tiền mã hóa.
Nền tảng nội bộ nằm ở trung tâm của cuộc điều tra là luckyguys.site, cũng được gọi nội bộ là WebMsg. Nó hoạt động như một ứng dụng nhắn tin kiểu Discord, cho phép các nhân viên CNTT DPRK báo cáo các khoản thanh toán cho người phụ trách. Ít nhất mười người dùng chưa từng thay đổi mật khẩu mặc định, được đặt là “123456.”
Danh sách người dùng chứa các vai trò, tên người Hàn Quốc, các thành phố và các tên nhóm được mã hóa phù hợp với các hoạt động đã biết của nhân viên CNTT DPRK. Ba công ty xuất hiện trong danh sách, Sobaeksu, Saenal và Songkwang, hiện đang bị Văn phòng Kiểm soát Tài sản Nước ngoài (Office of Foreign Assets Control) thuộc Bộ Tài chính Hoa Kỳ trừng phạt.
Các khoản thanh toán được xác nhận thông qua một tài khoản quản trị trung tâm được xác định là PC-1234. ZachXBT đã chia sẻ các ví dụ tin nhắn trực tiếp từ một người dùng biệt danh “Rascal”, trong đó mô tả các lần chuyển tiền gắn với các danh tính gian lận trải dài từ tháng 12 năm 2025 đến tháng 4 năm 2026. Một số tin nhắn đề cập đến các địa chỉ ở Hồng Kông cho hóa đơn và hàng hóa, dù tính xác thực của chúng chưa được kiểm chứng.
Các địa chỉ ví thanh toán liên quan đã nhận hơn 3,5 triệu USD trong khoảng thời gian đó, tương đương khoảng $1 triệu USD mỗi tháng. Các nhân viên đã dùng giấy tờ pháp lý giả mạo và danh tính giả để có được việc làm. Crypto được chuyển trực tiếp từ các sàn hoặc được đổi sang tiền pháp định thông qua các tài khoản ngân hàng Trung Quốc bằng các nền tảng như Payoneer. Tài khoản quản trị PC-1234 sau đó xác nhận việc nhận tiền và phân phát thông tin đăng nhập cho nhiều nền tảng crypto và fintech khác nhau.
Phân tích trên chuỗi (onchain) liên kết các địa chỉ thanh toán nội bộ với các cụm nhân viên CNTT DPRK đã biết. Hai địa chỉ cụ thể đã được xác định: một địa chỉ Ethereum và một địa chỉ Tron mà Tether đã đóng băng vào tháng 12 năm 2025.
ZachXBT đã dùng toàn bộ bộ dữ liệu để lập bản đồ cấu trúc tổ chức hoàn chỉnh của mạng lưới, bao gồm tổng số thanh toán theo từng người dùng và theo từng nhóm. Ông đã công bố một sơ đồ tổ chức tương tác bao phủ từ tháng 12 năm 2025 đến tháng 2 năm 2026 tại investigation.io/dprk-itw-breach, có thể truy cập bằng mật khẩu “123456.”
Thiết bị bị xâm nhập và nhật ký chat tạo ra thêm các chi tiết. Các nhân viên sử dụng VPN Astrill và các nhân dạng giả để nộp đơn xin việc. Các thảo luận Slack nội bộ bao gồm một bài đăng từ người dùng tên “Nami”, chia sẻ một blog về một ứng viên deepfake thuộc DPRK. Người quản trị cũng gửi 43 mô-đun đào tạo Hex-Rays và IDA Pro cho các nhân viên trong giai đoạn từ tháng 11 năm 2025 đến tháng 2 năm 2026, bao gồm giải rời (disassembly), biên dịch ngược (decompilation) và gỡ lỗi (debugging). Một liên kết được chia sẻ đặc biệt đề cập đến việc giải nén các tệp thực thi PE có khả năng gây hại.
Ba mươi ba nhân viên CNTT DPRK được phát hiện đang liên lạc thông qua cùng mạng IPMsg đó. Các mục nhật ký riêng rẽ đề cập đến kế hoạch trộm cắp từ Arcano, một trò chơi thuộc GalaChain, bằng cách sử dụng một proxy từ Nigeria, dù kết quả của nỗ lực đó không rõ ràng từ dữ liệu.
ZachXBT mô tả cụm này kém tinh vi về mặt vận hành hơn các nhóm DPRK thuộc tầng cao hơn như Applejeus hoặc Tradertraitor. Ông trước đó ước tính rằng các nhân viên CNTT DPRK nói chung tạo ra nhiều con số bảy chữ số mỗi tháng. Ông lưu ý rằng các nhóm cấp thấp như nhóm này thu hút tác nhân đe dọa vì rủi ro thấp và mức độ cạnh tranh tối thiểu.
Tên miền luckyguys.site đã ngừng hoạt động vào Thứ Năm, ngày hôm sau kể từ khi ZachXBT công bố phát hiện của mình. Ông xác nhận rằng toàn bộ bộ dữ liệu đã được lưu trữ trước khi trang web bị hạ xuống.
Cuộc điều tra cung cấp một cái nhìn trực tiếp về cách các nhóm nhân viên CNTT DPRK thu thập tiền, duy trì danh tính giả và chuyển tiền qua các hệ thống crypto và tiền pháp định, kèm theo tài liệu cho thấy cả quy mô và các khoảng trống vận hành mà các nhóm này dựa vào để tiếp tục hoạt động.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
