Cryptonews

Раскрыта ежемесячная афера на миллион долларов: мошеннические технические специалисты из изолированного режима пойманы с поличным в схеме обмана криптовалюты

Источник
cryptonewstrend.com
Опубликовано
Раскрыта ежемесячная афера на миллион долларов: мошеннические технические специалисты из изолированного режима пойманы с поличным в схеме обмана криптовалюты

Оглавление Серьезное нарушение внутреннего платежного сервера Северной Кореи выявило сложную сеть мошенничества, приносящую почти 1 миллион долларов в месяц. Следователь ZachXBT получил данные из неназванного источника, включая 390 учетных записей, журналы чатов и криптотранзакции. Утечка данных выявила поддельные личности, поддельные юридические документы и методы конвертации криптовалюты в фиат. С конца ноября 2025 года через адреса платежных кошельков сети прошло более 3,5 миллионов долларов. Причиной взлома стало скомпрометированное устройство, принадлежащее ИТ-работнику КНДР, зараженное инфокрадом. Данные, извлеченные с устройства, включали журналы чата IPMsg, поддельные документы, удостоверяющие личность, и историю браузера. Следователи отследили активность сайта LuckyGuys[.]site, который называют внутренней платформой денежных переводов. Платформа функционировала аналогично приложению для обмена сообщениями, позволяя работникам сообщать обработчикам о платежах. Десять пользователей платформы по-прежнему имели неизменный пароль по умолчанию — 123456. Список пользователей включал роли, корейские имена, города и закодированные имена групп, соответствующие известным операциям ИТ-специалистов КНДР. В данных фигурируют три компании, попавшие под санкции: Sobaeksu, Saenal и Songkwang, все они в настоящее время находятся под санкциями OFAC. ZachXBT сообщил на X, что схема денежных переводов одинакова для всех пользователей. Работники переводили криптовалюту с бирж или сервисов или конвертировали средства в фиатные деньги через счета в китайских банках через такие платформы, как Payoneer. 1/ Недавно неназванный источник поделился данными с внутреннего платежного сервера Северной Кореи, содержащего 390 учетных записей, журналы чатов и криптотранзакции. Я провел долгие часы, просматривая все это, ни одно из которых так и не было опубликовано. Он выявил сложную… pic.twitter.com/aTybOrwMHq — ZachXBT (@zachxbt) 8 апреля 2026 г. Учетная запись администратора, PC-1234, затем подтвердила получение и распространила учетные данные для различных бирж и финтех-платформ. У одного пользователя, идентифицированного как «Мошенник», были журналы прямых сообщений с PC-1234, в которых подробно описывались платежные переводы и использование мошеннических идентификационных данных с декабря 2025 года по апрель 2026 года. Гонконгские адреса фигурировали в платежных записях, хотя их подлинность не удалось подтвердить. Были идентифицированы два платежных адреса: один адрес Ethereum и один адрес Tron, последний из которых был заморожен Tether в декабре 2025 года. Используя полный набор данных, ZachXBT отобразил полную организационную структуру сети, включая суммы платежей по каждому пользователю и группе. Он опубликовал интерактивную организационную диаграмму, охватывающую диапазон данных с декабря 2025 года по февраль 2026 года. Помимо финансового мошенничества, данные выявили деятельность по обучению кибербезопасности внутри группы. Согласно сообщению ZachXBT, в период с ноября 2025 года по февраль 2026 года администратор отправил группе 43 учебных модуля Hex-Rays и IDA Pro. Темы охватывали дизассемблирование, декомпиляцию, локальную и удаленную отладку, а также различные темы кибербезопасности. Одна ссылка, отправленная 20 ноября, указывала на использование отладчика IDA для распаковки вредоносного исполняемого файла. Скомпрометированное устройство, принадлежащее работнику по имени «Джерри», показало использование Astrill VPN и несколько поддельных людей, претендующих на работу. Во внутреннем сообщении Slack было показано, что пользователь по имени «Нами» поделился сообщением в блоге о фейковом кандидате на работу ИТ-работника из КНДР. На другом снимке экрана показано, как 33 работника общаются в одной сети через IPMsg. Джерри также обсудил с другим сотрудником планы кражи из проекта под названием Arcano, игры GalaChain, через нигерийский прокси. Продолжалась ли эта атака, остается неясным. Исследователь отметил, что этот кластер менее сложен, чем такие группы, как AppleJeus и TraderTraitor. ZachXBT заявил в своем сообщении, что ИТ-работники КНДР в совокупности генерируют семизначные суммы в месяц, и эти данные подтверждают эту оценку. Он добавил, что субъекты угроз упускают возможность, не нацеливаясь на эти низшие группировки КНДР, ссылаясь на минимальную конкуренцию и низкий риск последствий. Он подтвердил планы продолжить публикацию результатов через свою платформу расследований.