الكشف عن عملية احتيال شهرية بملايين الدولارات: تم القبض على متخصصين في التكنولوجيا المارقة من نظام معزول متلبسين في مخطط لخداع العملات المشفرة
جدول المحتويات كشف اختراق كبير لخادم دفع داخلي في كوريا الشمالية عن شبكة احتيال متطورة تدر ما يقرب من مليون دولار شهريًا. حصل المحقق على السلسلة ZachXBT على بيانات من مصدر غير مسمى، بما في ذلك 390 حسابًا وسجلات دردشة ومعاملات عملات مشفرة. كشفت البيانات المسربة عن هويات مزيفة، ومستندات قانونية مزورة، وطرق تحويل العملات المشفرة إلى العملات الورقية. منذ أواخر نوفمبر 2025، تم نقل أكثر من 3.5 مليون دولار عبر عناوين محفظة الدفع الخاصة بالشبكة. نشأ الاختراق من جهاز مخترق ينتمي إلى أحد العاملين في مجال تكنولوجيا المعلومات في جمهورية كوريا الديمقراطية الشعبية، وقد أصيب به أحد سارقي المعلومات. وتضمنت البيانات المستخرجة من الجهاز سجلات دردشة IPMsg ومستندات الهوية المزيفة وسجل المتصفح. تتبع المحققون النشاط إلى موقع يسمى Luckyguys[.]site، والذي يوصف بأنه منصة تحويلات دفع داخلية. تعمل المنصة بشكل مشابه لتطبيق المراسلة، مما يسمح للعمال بالإبلاغ عن المدفوعات إلى المعالجين. ولا يزال عشرة مستخدمين على المنصة يحتفظون بكلمة المرور الافتراضية، 123456، دون تغيير. تضمنت قائمة المستخدمين الأدوار والأسماء الكورية والمدن وأسماء المجموعات المشفرة المتوافقة مع عمليات عمال تكنولوجيا المعلومات المعروفة في جمهورية كوريا الشعبية الديمقراطية. ظهرت ثلاث شركات خاضعة للعقوبات في البيانات: Sobaeksu، وSaenal، وSongkwang، وجميعها خاضعة حاليًا لعقوبات مكتب مراقبة الأصول الأجنبية. نشر ZachXBT على X أن نمط التحويلات كان متسقًا بين المستخدمين. قام العمال بنقل العملات المشفرة من البورصات أو الخدمات، أو تحويل الأموال إلى عملات ورقية من خلال حسابات مصرفية صينية عبر منصات مثل Payoneer. 1/ قام مصدر غير مسمى مؤخرًا بمشاركة البيانات المسربة من خادم دفع داخلي في كوريا الشمالية يحتوي على 390 حسابًا وسجلات دردشة ومعاملات تشفير. لقد أمضيت ساعات طويلة في دراسة كل ذلك، ولم يتم نشر أي منها علنًا على الإطلاق. لقد كشفت عن أمر معقد… pic.twitter.com/aTybOrwMHq — ZachXBT (@zachxbt) 8 أبريل 2026 حساب مسؤول، PC-1234، ثم أكد الاستلام ووزع بيانات الاعتماد لمختلف البورصات ومنصات التكنولوجيا المالية. كان لدى أحد المستخدمين الذي تم تحديده على أنه "Rascal" سجلات رسائل مباشرة تحتوي على PC-1234 توضح تفاصيل تحويلات الدفع واستخدام الهويات الاحتيالية من ديسمبر 2025 حتى أبريل 2026. ظهرت عناوين هونج كونج في سجلات الفواتير، على الرغم من عدم إمكانية التأكد من صحتها. تم تحديد عنوانين للدفع: عنوان إيثريوم واحد وعنوان ترون واحد، وتم تجميد الأخير بواسطة تيثر في ديسمبر 2025. وباستخدام مجموعة البيانات الكاملة، رسم ZachXBT خريطة للهيكل التنظيمي الكامل للشبكة، بما في ذلك إجماليات الدفع لكل مستخدم ومجموعة. قام بنشر مخطط تنظيمي تفاعلي يغطي نطاق البيانات من ديسمبر 2025 إلى فبراير 2026. وبعيدًا عن الاحتيال المالي، كشفت البيانات عن نشاط التدريب على الأمن السيبراني داخل المجموعة. وفقًا لمنشور ZachXBT، أرسل المشرف 43 وحدة تدريب Hex-Rays وIDA Pro إلى المجموعة بين نوفمبر 2025 وفبراير 2026. غطت المواضيع التفكيك وإلغاء الترجمة والتصحيح المحلي وعن بعد ومواضيع الأمن السيبراني المختلفة. تمت الإشارة إلى رابط واحد تم إرساله في 20 نوفمبر باستخدام مصحح أخطاء IDA لتفريغ ملف قابل للتنفيذ معادي. أظهر جهاز مخترق يخص عاملًا تم تعريفه باسم "جيري" استخدام Astrill VPN والعديد من الشخصيات المزيفة التي تتقدم للوظائف. أظهرت رسالة Slack الداخلية مستخدمًا يُدعى "Nami" وهو يشارك منشورًا على مدونة حول مقدم طلب وظيفة مزيف بعمق يعمل في مجال تكنولوجيا المعلومات في جمهورية كوريا الديمقراطية الشعبية. وأظهرت لقطة شاشة أخرى أن 33 عاملاً يتواصلون على نفس الشبكة من خلال IPMsg. ناقش جيري أيضًا خططًا للسرقة من مشروع يُدعى Arcano، وهي إحدى ألعاب GalaChain، مع عامل آخر من خلال وكيل نيجيري. ولا يزال من غير الواضح ما إذا كان هذا الهجوم قد بدأ أم لا. وأشار المحقق إلى أن هذه المجموعة أقل تطوراً من مجموعات مثل AppleJeus وTraderTraitor. ذكر ZachXBT في منشور أن العاملين في مجال تكنولوجيا المعلومات في كوريا الديمقراطية ينتجون بشكل جماعي عدة أرقام مكونة من سبعة أرقام شهريًا، وهذه البيانات تدعم هذا التقدير. وأضاف أن الجهات الفاعلة في مجال التهديد تضيع فرصة من خلال عدم استهداف هذه المجموعات ذات المستوى الأدنى في جمهورية كوريا الشعبية الديمقراطية، مشيرًا إلى الحد الأدنى من المنافسة وانخفاض مخاطر التداعيات. وأكد خططًا لمواصلة نشر النتائج من خلال منصة التحقيق الخاصة به.