Cryptonews

Une escroquerie mensuelle d'un million de dollars découverte : des spécialistes techniques malhonnêtes d'un régime isolé pris en flagrant délit dans un stratagème de tromperie sur les cryptomonnaies

Source
cryptonewstrend.com
Publié
Une escroquerie mensuelle d'un million de dollars découverte : des spécialistes techniques malhonnêtes d'un régime isolé pris en flagrant délit dans un stratagème de tromperie sur les cryptomonnaies

Table des matières Une faille majeure dans un serveur de paiement interne nord-coréen a révélé un réseau frauduleux sophistiqué générant près d'un million de dollars par mois. L'enquêteur en chaîne ZachXBT a obtenu des données d'une source anonyme, notamment 390 comptes, des journaux de discussion et des transactions cryptographiques. Les données divulguées ont révélé de fausses identités, de faux documents juridiques et des méthodes de conversion crypto-fiat. Depuis fin novembre 2025, plus de 3,5 millions de dollars ont été transférés via les adresses de portefeuille de paiement du réseau. La violation provenait d'un appareil compromis appartenant à un informaticien de la RPDC infecté par un voleur d'informations. Les données extraites de l'appareil comprenaient les journaux de discussion IPMsg, de faux documents d'identité et l'historique du navigateur. Les enquêteurs ont retracé l'activité jusqu'à un site appelé Luckyguys[.]site, décrit comme une plateforme interne de transfert de paiements. La plateforme fonctionnait de manière similaire à une application de messagerie, permettant aux travailleurs de signaler leurs paiements aux gestionnaires. Dix utilisateurs de la plateforme avaient toujours le mot de passe par défaut, 123456, inchangé. La liste des utilisateurs comprenait des rôles, des noms coréens, des villes et des noms de groupes codés cohérents avec les opérations connues des informaticiens de la RPDC. Trois sociétés sanctionnées apparaissent dans les données : Sobaeksu, Saenal et Songkwang, toutes actuellement sous sanctions de l'OFAC. ZachXBT a publié sur X que le modèle de transfert de fonds était cohérent entre les utilisateurs. Les travailleurs transféraient des cryptomonnaies depuis des bourses ou des services, ou convertissaient des fonds en monnaie fiduciaire via des comptes bancaires chinois via des plateformes comme Payoneer. 1/ Récemment, une source anonyme a partagé des données exfiltrées d'un serveur de paiement interne nord-coréen contenant 390 comptes, journaux de discussion et transactions cryptographiques. J'ai passé de longues heures à tout parcourir, dont aucun n'a jamais été rendu public. Il a révélé un complexe… pic.twitter.com/aTybOrwMHq — ZachXBT (@zachxbt) 8 avril 2026 Un compte administrateur, PC-1234, a ensuite confirmé la réception et distribué les informations d'identification pour divers échanges et plateformes fintech. Un utilisateur identifié comme « Rascal » avait des journaux de messages directs avec PC-1234 détaillant les transferts de paiement et l'utilisation d'identités frauduleuses de décembre 2025 à avril 2026. Les adresses de Hong Kong figuraient dans les enregistrements de facturation, bien que leur authenticité n'ait pas pu être confirmée. Deux adresses de paiement ont été identifiées : une adresse Ethereum et une adresse Tron, cette dernière étant gelée par Tether en décembre 2025. À l'aide de l'ensemble de données complet, ZachXBT a cartographié la structure organisationnelle complète du réseau, y compris les totaux de paiement par utilisateur et par groupe. Il a publié un organigramme interactif couvrant la plage de données de décembre 2025 à février 2026. Au-delà de la fraude financière, les données ont révélé une activité de formation en cybersécurité au sein du groupe. Selon le message de ZachXBT, l'administrateur a envoyé 43 modules de formation Hex-Rays et IDA Pro au groupe entre novembre 2025 et février 2026. Les sujets couvraient le désassemblage, la décompilation, le débogage local et distant et divers sujets de cybersécurité. Un lien envoyé le 20 novembre faisait référence à l'utilisation d'un débogueur IDA pour décompresser un exécutable hostile. Un appareil compromis appartenant à un travailleur identifié comme « Jerry » montrait l'utilisation du VPN Astrill et plusieurs fausses personnes postulant à des emplois. Un message interne de Slack montrait un utilisateur nommé « Nami » partageant un article de blog sur un faux candidat à un poste d'un informaticien de la RPDC. Une autre capture d'écran montrait 33 travailleurs communiquant sur le même réseau via IPMsg. Jerry a également discuté de son intention de voler un projet appelé Arcano, un jeu GalaChain, avec un autre travailleur par l'intermédiaire d'un mandataire nigérian. On ne sait pas encore si cette attaque a eu lieu. L'enquêteur a noté que ce cluster est moins sophistiqué que des groupes comme AppleJeus et TraderTraitor. ZachXBT a déclaré dans un article que les informaticiens de la RPDC génèrent collectivement plusieurs sept chiffres par mois, et ces données soutiennent cette estimation. Il a ajouté que les acteurs de la menace ratent une opportunité en ne ciblant pas ces groupes de niveau inférieur de la RPDC, citant une concurrence minime et un faible risque de répercussions. Il a confirmé son intention de continuer à publier les résultats via sa plateforme d'enquête.