ملین ڈالر کے ماہانہ گھوٹالے کا پردہ فاش: الگ تھلگ حکومت کے بدمعاش ٹیک ماہرین کرپٹو کرنسی فریب کاری اسکیم میں رنگے ہاتھوں پکڑے گئے

مندرجات کا جدول شمالی کوریا کے اندرونی ادائیگی کے سرور کی ایک بڑی خلاف ورزی نے ایک جدید ترین فراڈ نیٹ ورک کا انکشاف کیا ہے جو ہر ماہ تقریباً$1 ملین کماتا ہے۔ آن-چین تفتیش کار ZachXBT نے ایک نامعلوم ذریعہ سے ڈیٹا حاصل کیا، بشمول 390 اکاؤنٹس، چیٹ لاگز، اور کرپٹو ٹرانزیکشنز۔ لیک ہونے والے ڈیٹا نے جعلی شناختوں، جعلی قانونی دستاویزات اور کرپٹو ٹو فیاٹ تبادلوں کے طریقوں کو بے نقاب کیا۔ نومبر 2025 کے آخر سے، نیٹ ورک کے ادائیگی والے بٹوے کے پتوں کے ذریعے $3.5 ملین سے زیادہ منتقل ہوئے۔ خلاف ورزی DPRK IT ورکر سے تعلق رکھنے والے سمجھوتہ کرنے والے آلے سے ہوئی ہے جو ایک infostealer سے متاثر ہوا ہے۔ ڈیوائس سے نکالے گئے ڈیٹا میں IPMsg چیٹ لاگ، جعلی شناختی دستاویزات، اور براؤزر کی تاریخ شامل تھی۔ تفتیش کاروں نے luckyguys[.]site نامی سائٹ پر سرگرمی کا سراغ لگایا، جسے اندرونی ادائیگی کے ترسیلی پلیٹ فارم کے طور پر بیان کیا گیا ہے۔ یہ پلیٹ فارم میسجنگ ایپ کی طرح کام کرتا ہے، جس سے کارکنان ہینڈلرز کو ادائیگیوں کی اطلاع دے سکتے ہیں۔ پلیٹ فارم پر دس صارفین کے پاس اب بھی ڈیفالٹ پاس ورڈ، 123456، کوئی تبدیلی نہیں ہوئی۔ صارف کی فہرست میں کردار، کوریائی نام، شہروں اور کوڈ شدہ گروپ کے نام شامل ہیں جو DPRK آئی ٹی ورکر کے معروف آپریشنز سے مطابقت رکھتے ہیں۔ اعداد و شمار میں تین منظور شدہ کمپنیاں نمودار ہوئیں: Sobaeksu، Saenal، اور Songkwang، سبھی فی الحال OFAC کی پابندیوں کے تحت ہیں۔ ZachXBT نے X پر پوسٹ کیا کہ ترسیلات زر کا پیٹرن صارفین کے لیے یکساں تھا۔ کارکنوں نے ایکسچینجز یا خدمات سے کرپٹو کو منتقل کیا، یا Payoneer جیسے پلیٹ فارم کے ذریعے چینی بینک اکاؤنٹس کے ذریعے فنڈز کو فیاٹ میں تبدیل کیا۔ 1/ حال ہی میں ایک نامعلوم ذریعہ نے شمالی کوریا کے اندرونی ادائیگی کے سرور سے 390 اکاؤنٹس، چیٹ لاگز، کرپٹو ٹرانزیکشنز پر مشتمل ڈیٹا کا اشتراک کیا۔ میں نے اس سب سے گزرتے ہوئے طویل گھنٹے گزارے، جن میں سے کوئی بھی کبھی عوامی طور پر جاری نہیں کیا گیا۔ اس نے ایک پیچیدہ انکشاف کیا… pic.twitter.com/aTybOrwMHq — ZachXBT (@zachxbt) 8 اپریل 2026 ایک ایڈمن اکاؤنٹ، PC-1234، پھر مختلف ایکسچینجز اور فنٹیک پلیٹ فارمز کے لیے رسید کی تصدیق اور تقسیم اسناد۔ "Rascal" کے نام سے شناخت شدہ ایک صارف کے پاس PC-1234 کے ساتھ براہ راست میسج لاگز تھے جن میں دسمبر 2025 سے اپریل 2026 تک ادائیگی کی منتقلی اور جعلی شناختوں کے استعمال کی تفصیل تھی۔ ہانگ کانگ کے پتے بلنگ ریکارڈز میں ظاہر ہوئے، حالانکہ ان کی صداقت کی تصدیق نہیں ہو سکی۔ ادائیگی کے دو پتوں کی نشاندہی کی گئی تھی: ایک ایتھریم ایڈریس اور ایک ٹرون ایڈریس، جو بعد میں ٹیتھر نے دسمبر 2025 میں منجمد کر دیا تھا۔ مکمل ڈیٹاسیٹ کا استعمال کرتے ہوئے، ZachXBT نے نیٹ ورک کے مکمل تنظیمی ڈھانچے کی نقشہ کشی کی، بشمول فی صارف اور گروپ کی ادائیگی کی کل رقم۔ اس نے دسمبر 2025 سے فروری 2026 کے ڈیٹا رینج پر محیط ایک انٹرایکٹو تنظیمی چارٹ شائع کیا۔ مالی فراڈ کے علاوہ، ڈیٹا نے گروپ کے اندر سائبرسیکیوریٹی ٹریننگ سرگرمی کا انکشاف کیا۔ ZachXBT کی پوسٹ کے مطابق، منتظم نے نومبر 2025 اور فروری 2026 کے درمیان گروپ کو 43 Hex-Rays اور IDA Pro ٹریننگ ماڈیولز بھیجے۔ جن موضوعات کا احاطہ کیا گیا، ڈس اسمبلیشن، لوکل اور ریموٹ ڈیبگنگ، اور سائبر سیکیورٹی کے مختلف مضامین۔ 20 نومبر کو بھیجے گئے ایک لنک میں ایک IDA ڈیبگر کا استعمال کرتے ہوئے حوالہ دیا گیا ہے تاکہ دشمنی پر عمل درآمد کو کھولا جا سکے۔ "جیری" کے نام سے شناخت شدہ کارکن سے تعلق رکھنے والے ایک سمجھوتہ شدہ ڈیوائس نے Astrill VPN کا استعمال اور ملازمتوں کے لیے درخواست دینے والے متعدد جعلی افراد کو دکھایا۔ ایک اندرونی Slack پیغام میں "Nami" نامی صارف کو DPRK IT ورکر ڈیپ فیک نوکری کے درخواست دہندہ کے بارے میں ایک بلاگ پوسٹ شیئر کرتے ہوئے دکھایا گیا۔ ایک اور اسکرین شاٹ میں 33 کارکنوں کو IPMsg کے ذریعے ایک ہی نیٹ ورک پر بات چیت کرتے ہوئے دکھایا گیا ہے۔ جیری نے نائیجیرین پراکسی کے ذریعے دوسرے کارکن کے ساتھ آرکانو نامی پروجیکٹ سے چوری کرنے کے منصوبوں پر بھی تبادلہ خیال کیا۔ آیا یہ حملہ ابھی تک واضح نہیں ہے۔ تفتیش کار نے نوٹ کیا کہ یہ کلسٹر AppleJeus اور TraderTraitor جیسے گروپوں سے کم نفیس ہے۔ ZachXBT نے ایک پوسٹ میں کہا ہے کہ DPRK کے آئی ٹی ورکرز ہر ماہ ایک سے زیادہ سات اعداد و شمار تیار کرتے ہیں، اور یہ ڈیٹا اس تخمینے کی تائید کرتا ہے۔ انہوں نے مزید کہا کہ دھمکی دینے والے اداکار کم سے کم مسابقت اور کم ردعمل کے خطرے کا حوالہ دیتے ہوئے ان نچلے درجے کے DPRK گروپوں کو نشانہ نہ بنا کر ایک موقع گنوا رہے ہیں۔ انہوں نے اپنے تحقیقاتی پلیٹ فارم کے ذریعے نتائج کی اشاعت جاری رکھنے کے منصوبوں کی تصدیق کی۔