Monatlicher Betrug in Millionenhöhe aufgedeckt: Abtrünnige Tech-Spezialisten eines isolierten Regimes werden bei Betrug mit Kryptowährungen auf frischer Tat ertappt

Inhaltsverzeichnis Ein schwerwiegender Verstoß gegen einen internen nordkoreanischen Zahlungsserver hat ein ausgeklügeltes Betrugsnetzwerk aufgedeckt, das monatlich fast 1 Million US-Dollar erwirtschaftet. Der On-Chain-Ermittler ZachXBT erhielt Daten von einer ungenannten Quelle, darunter 390 Konten, Chat-Protokolle und Kryptotransaktionen. Die durchgesickerten Daten enthüllten gefälschte Identitäten, gefälschte Rechtsdokumente und Methoden zur Umwandlung von Krypto in Fiat. Seit Ende November 2025 wurden über 3,5 Millionen US-Dollar über die Zahlungs-Wallet-Adressen des Netzwerks bewegt. Der Verstoß ging von einem kompromittierten Gerät eines IT-Mitarbeiters der DVRK aus, das mit einem Infostealer infiziert war. Zu den vom Gerät extrahierten Daten gehörten IPMsg-Chatprotokolle, gefälschte Ausweisdokumente und der Browserverlauf. Die Ermittler führten die Aktivitäten auf eine Website namens „luckyguys[.]site“ zurück, die als interne Plattform für Zahlungsüberweisungen beschrieben wird. Die Plattform funktionierte ähnlich wie eine Messaging-App und ermöglichte es den Mitarbeitern, Zahlungen an die Sachbearbeiter zurückzumelden. Zehn Benutzer der Plattform hatten weiterhin unverändert das Standardpasswort 123456. Die Benutzerliste umfasste Rollen, koreanische Namen, Städte und codierte Gruppennamen, die mit bekannten IT-Mitarbeiteroperationen der DVRK übereinstimmen. In den Daten tauchten drei sanktionierte Unternehmen auf: Sobaeksu, Saenal und Songkwang, die derzeit alle OFAC-Sanktionen unterliegen. ZachXBT hat auf X gepostet, dass das Überweisungsmuster bei allen Benutzern konsistent sei. Arbeiter transferierten Kryptowährungen von Börsen oder Diensten oder wandelten Gelder über chinesische Bankkonten über Plattformen wie Payoneer in Fiat um. 1/ Kürzlich teilte eine ungenannte Quelle Daten mit, die von einem internen nordkoreanischen Zahlungsserver exfiltriert wurden und 390 Konten, Chat-Protokolle und Kryptotransaktionen enthielten. Ich habe viele Stunden damit verbracht, alles durchzugehen, aber nichts davon wurde jemals öffentlich veröffentlicht. Es enthüllte eine komplizierte… pic.twitter.com/aTybOrwMHq – ZachXBT (@zachxbt) 8. April 2026 Ein Administratorkonto, PC-1234, bestätigte dann den Empfang und verteilte Anmeldeinformationen für verschiedene Börsen und Fintech-Plattformen. Ein als „Rascal“ identifizierter Benutzer verfügte über Direktnachrichtenprotokolle mit PC-1234, in denen Zahlungstransfers und die Verwendung betrügerischer Identitäten von Dezember 2025 bis April 2026 aufgeführt waren. Adressen aus Hongkong tauchten in Rechnungsunterlagen auf, ihre Echtheit konnte jedoch nicht bestätigt werden. Es wurden zwei Zahlungsadressen identifiziert: eine Ethereum-Adresse und eine Tron-Adresse, wobei letztere im Dezember 2025 von Tether eingefroren wurde. Mithilfe des vollständigen Datensatzes bildete ZachXBT die komplette Organisationsstruktur des Netzwerks ab, einschließlich der Zahlungssummen pro Benutzer und Gruppe. Er veröffentlichte ein interaktives Organigramm, das den Datenbereich Dezember 2025 bis Februar 2026 abdeckt. Über den Finanzbetrug hinaus enthüllten die Daten Schulungsaktivitäten im Bereich Cybersicherheit innerhalb der Gruppe. Dem Beitrag von ZachXBT zufolge schickte der Administrator zwischen November 2025 und Februar 2026 43 Hex-Rays- und IDA Pro-Schulungsmodule an die Gruppe. Die Themen umfassten Disassemblierung, Dekompilierung, lokales und Remote-Debugging sowie verschiedene Themen der Cybersicherheit. Ein am 20. November gesendeter Link verwies auf die Verwendung eines IDA-Debuggers zum Entpacken einer feindlichen ausführbaren Datei. Ein kompromittiertes Gerät eines als „Jerry“ identifizierten Mitarbeiters zeigte die Nutzung von Astrill VPN und mehrere gefälschte Personas, die sich um Stellen beworben hatten. Eine interne Slack-Nachricht zeigte einen Benutzer namens „Nami“, der einen Blogbeitrag über einen Deepfake-Stellenbewerber für einen IT-Mitarbeiter aus der DVRK teilte. Ein weiterer Screenshot zeigte 33 Mitarbeiter, die über IPMsg im selben Netzwerk kommunizieren. Jerry besprach mit einem anderen Mitarbeiter auch Pläne, über einen nigerianischen Stellvertreter aus einem Projekt namens Arcano, einem GalaChain-Spiel, zu stehlen. Ob dieser Angriff stattfand, bleibt unklar. Der Ermittler stellte fest, dass dieser Cluster weniger ausgefeilt ist als Gruppen wie AppleJeus und TraderTraitor. ZachXBT erklärte in einem Beitrag, dass die IT-Mitarbeiter der DVRK zusammen mehrere siebenstellige Beträge pro Monat erwirtschaften, und diese Daten stützen diese Schätzung. Er fügte hinzu, dass Bedrohungsakteure eine Chance verpassen, indem sie diese untergeordneten Gruppen der DVRK nicht ins Visier nehmen, und verwies auf den minimalen Wettbewerb und das geringe Risiko von Auswirkungen. Er bestätigte Pläne, die Erkenntnisse weiterhin über seine Ermittlungsplattform zu veröffentlichen.