每月百万美元的骗局被揭露：来自孤立政权的流氓技术专家在加密货币欺骗计划中被当场抓获

朝鲜内部支付服务器遭到重大破坏，暴露了一个复杂的欺诈网络，每月产生近 100 万美元的收入。链上调查员 ZachXBT 从未透露姓名的来源获取了数据，包括 390 个账户、聊天日志和加密交易。泄露的数据暴露了虚假身份、伪造的法律文件以及加密货币到法定货币的转换方法。自 2025 年 11 月下旬以来，超过 350 万美元通过该网络的支付钱包地址转移。该漏洞源自一名朝鲜 IT 工作人员的受感染设备，该设备被信息窃取者感染。从设备中提取的数据包括 IPMsg 聊天日志、虚假身份文件和浏览器历史记录。调查人员追踪到一个名为 luckyguys[.]site 的网站的活动，该网站被描述为内部支付汇款平台。该平台的功能类似于消息传递应用程序，允许工作人员向处理人员报告付款情况。平台上的10名用户仍保留默认密码123456，未发生变化。用户列表包括与已知的朝鲜 IT 工作人员操作一致的角色、韩语姓名、城市和编码组名称。数据中出现了 3 家受制裁的公司：Sobaeksu、Saenal 和 Songkwang，目前均受到 OFAC 制裁。 ZachXBT 在 X 上发布消息称，各用户的汇款模式是一致的。工人们从交易所或服务机构转移加密货币，或者通过 Payoneer 等平台通过中国银行账户将资金转换为法定货币。 1/ 最近，一个未透露姓名的来源共享了从朝鲜内部支付服务器中泄露的数据，其中包含 390 个帐户、聊天日志、加密交易。我花了很长时间浏览所有这些内容，但没有一个公开发布过。它揭示了一个错综复杂的… pic.twitter.com/aTybOrwMHq — ZachXBT (@zachxbt) 2026 年 4 月 8 日 一个管理员帐户 PC-1234，然后确认收到并分发了各个交易所和金融科技平台的凭证。一名被识别为“Rascal”的用户拥有 PC-1234 的直接消息日志，详细记录了 2025 年 12 月至 2026 年 4 月期间的付款转账和欺诈身份的使用情况。香港地址出现在账单记录中，但其真实性无法确认。确定了两个支付地址：一个以太坊地址和一个 Tron 地址，后者于 2025 年 12 月被 Tether 冻结。ZachXBT 使用完整的数据集映射了网络的完整组织结构，包括每个用户和组的支付总额。他发布了一份交互式组织结构图，涵盖 2025 年 12 月至 2026 年 2 月的数据范围。除了财务欺诈之外，数据还揭示了该组织内部的网络安全培训活动。根据 ZachXBT 的帖子，管理员在 2025 年 11 月至 2026 年 2 月期间向该小组发送了 43 个 Hex-Rays 和 IDA Pro 培训模块。主题涵盖反汇编、反编译、本地和远程调试以及各种网络安全主题。 11 月 20 日发送的一个链接提到使用 IDA 调试器解压恶意可执行文件。一名名为“Jerry”的员工的受感染设备显示使用 Astrill VPN 和多个申请工作的虚假角色。 Slack 内部消息显示，一位名为“Nami”的用户分享了一篇有关朝鲜 IT 工人深造求职者的博文。另一张屏幕截图显示 33 个工作人员通过 IPMsg 在同一网络上进行通信。 Jerry 还通过尼日利亚代理与另一名工作人员讨论了从 GalaChain 游戏 Arcano 项目中窃取信息的计划。这次袭击是否继续尚不清楚。调查人员指出，这个集群不如 AppleJeus 和 TraderTraitor 等组织复杂。 ZachXBT 在一篇文章中表示，朝鲜 IT 工人每月总共产生七位数的收入，该数据支持了这一估计。他补充说，威胁行为者没有针对这些较低层的朝鲜组织，因为竞争最小且影响风险较低，从而错失了机会。他确认计划继续通过他的调查平台发布调查结果。