داخل آلية التشفير في كوريا الشمالية: التحقيق الأخير لـ ZachXBT

داخل آلية التشفير في كوريا الشمالية: التحقيق الأخير لـ ZachXBT

كشف ZachXBT عن شبكة شمال كورية من العاملين في تكنولوجيا المعلومات تقوم بتحويل ما قيمته مليون دولار شهريًا من العملات الرقمية عبر هويات مزيفة ومنصة دفع مخفية.

نشر محقق البلوكشين ZachXBT أحد أكثر تقاريره تفصيلاً حتى الآن، والذي يكشف الستار عن كيفية قيام عمال تكنولوجيا المعلومات الكوريين الشماليين باستنزاف صناعة العملات المشفرة ملايين الدولارات شهريًا.


سلم مصدر لم يُفصح عن اسمه لـ ZachXBT بيانات تم تسريبها من خادم دفع داخلي كوري شمالي. احتوت مجموعة البيانات على 390 حسابًا، وسجلات محادثات خاصة، وسجلات معاملات عملات مشفرة تمتد من ديسمبر 2025 حتى أبريل 2026. لم يُنشر أي منها من قبل. ما وجده ZachXBT في الداخل كان مخططًا منظمًا وعاملاً بالكامل يدر حوالي مليون دولار شهريًا من خلال هويات احتيالية، ومستندات قانونية مزورة، وشبكة محكمة لتحويل العملات المشفرة إلى عملات ورقية.


في قلب العملية كان هناك موقع يُدعى luckyguys[.]site — وهي منصة تحويل أموال داخلية يستخدمها عمال تكنولوجيا المعلومات من كوريا الديمقراطية للإبلاغ عن المدفوعات لمشغليهم. فكر فيها كرسول خاص مصمم خصيصًا لتمرير الأموال. كانت كلمة المرور الافتراضية للمنصة هي 123456. عشرة مستخدمين لم يغيروها أبدًا. تضمنت قائمة المستخدمين أسماء كورية حقيقية، ومواقع مدن، وأسماء مجموعات مشفرة، وأدوارًا محددة. ثلاث من الشركات التي ظهرت في البيانات خاضعة حاليًا لعقوبات مكتب مراقبة الأصول الأجنبية (OFAC): Sobaeksu، وSaenal، وSongkwang.


منذ أواخر نوفمبر 2025، تجاوزت 3.5 مليون دولار المعاملات عبر عناوين محافظ الدفع المرتبطة بهذه الشبكة. كانت الطريقة متسقة بين المستخدمين. يتلقى العمال العملات المشفرة من بورصة أو خدمة، أو يحولون الأرباح إلى عملات ورقية عبر حسابات بنكية صينية من خلال منصات مثل Payoneer. حساب إداري مركزي تم تعريفه فقط بـ PC-1234 يؤكد الاستلام ويوزع بيانات الاعتماد لأي بورصة أو منصة تكنولوجيا مالية يتم استخدامها في تلك الدورة. تم تجميد عنوان دفع لشبكة ترون (Tron) بواسطة تيثر (Tether) في ديسمبر 2025 — مما يعني أن شخصًا ما كان يعلم بالفعل بحدوث ذلك. لم يوقف الشبكة.


أحد العمال، المشار إليه باسم "جيري"، تم ضبطه وهو يتقدم لوظائف عن بُعد تحت هويات مزيفة أثناء اتصاله عبر شبكة Astrill VPN. أظهرت الرسائل الداخلية أن العمال يناقشون مقالًا إخباريًا حول عامل تكنولوجيا معلومات من كوريا الديمقراطية تم القبض عليه وهو يستخدم تقنية التزييف العميق (deepfake) خلال مقابلة عمل، متسائلين بقلق عما إذا كان أحدهم. تم العثور على ثلاثة وثلاثين عاملًا يتواصلون على نفس الشبكة. لم تكن هذه خلية صغيرة ومعزولة. كانت قوة عاملة، ذات هيكل وانضباط وتسلسل قيادي واضح جدًا.


بين نوفمبر 2025 وفبراير 2026، قام مسؤول الشبكة بتوزيع 43 وحدة تدريبية تركز على Hex-Rays وIDA Pro — أدوات احترافية تستخدم للهندسة العكسية وتحليل الثنائيات (binary analysis). غطت المواد التفكيك (disassembly)، وإلغاء التحويل البرمجي (decompilation)، وتصحيح الأخطاء (debugging)، وفك حزم الملفات التنفيذية المعادية (unpacking hostile executables). هذه ليست أدوات عملية احتيال بسيطة. إنها أدوات لأشخاص يستعدون لإحداث أضرار جسيمة.


يحرص ZachXBT على الإشارة إلى أن هذه المجموعة تقع أدنى من مجموعات التهديد الكورية الشمالية الأكثر خطورة مثل AppleJeus وTraderTraitor، والتي هي مسؤولة عن بعض أكبر عمليات سرقة العملات المشفرة المسجلة. هذه المجموعة في مستوى أدنى. لكن أدنى لا يعني غير ضار. قدر ZachXBT سابقًا أن عمال تكنولوجيا المعلومات من كوريا الديمقراطية يدرون مجتمعين أرقامًا متعددة من سبعة أرقام شهريًا عبر الصناعة، ويدعم هذا التحقيق ذلك الرقم بوثائق. أصبح موقع الدفع الداخلي غير نشط بعد وقت قصير من نشر ZachXBT. تم أرشفة جميع البيانات بالفعل.

الصناعة تستجيب

لم يصدر تقرير ZachXBT بصمت. لقد جاء في منتصف أسبوع كانت فيه الصناعة تتعامل بالفعل مع حجم الوجود الكوري الشمالي داخل فرق العملات المشفرة. قبل أيام من التقرير، ادعت باحثة الأمن في MetaMask، تايلور موناهان، أن أكثر من 40 منصة تمويل لامركزي (DeFi) وظفت دون علم منها مطورين كوريين شماليين برعاية الدولة، يعود تاريخ بعضها إلى صيف DeFi في عام 2020. كتبت على منصة X: "الكثير من عمال تكنولوجيا المعلومات من كوريا الديمقراطية قاموا ببناء البروتوكولات التي تعرفونها وتحبونها"، مضيفة أن العديد من هؤلاء العمال لديهم خبرة حقيقية في البلوكشين، مما جعل من الصعب للغاية التعرف عليهم.


ZachXBT نفسه، عندما سُئل عن مدى تعقيد هذه التكتيكات، كان مباشرًا. قال: "التهديدات عبر إعلانات الوظائف، لينكد إن، البريد الإلكتروني، زوم، أو المقابلات هي أساسية وليست متطورة بأي شكل من الأشكال." وأضاف: "الشيء الوحيد في الأمر هو أنهم لا يلينون."


كان رد فعل المجتمع الأوسع مختلطًا. أشار الكثيرون إلى إهمال التوظيف بين الفرق التي تتخذ موقفًا دفاعيًا عند تنبيهها إلى تهديدات أمنية محتملة. وأشار آخرون إلى الأرقام: في عام 2025، سرقت مجموعات مرتبطة بكوريا الديمقراطية ما لا يقل عن 2.02 مليار دولار من العملات المشفرة — 60% من السرقة العالمية في ذلك العام — بما في ذلك اختراق Bybit بقيمة 1.5 مليار دولار. هذا التحقيق الأخير ليس حادثة معزولة. إنه جزء مرئي من عملية أكبر بكثير.


ما يوضحه هذا التحقيق هو أن عملية كوريا الشمالية للعملات المشفرة ليست مجرد مجموعة من المستقلين المارقين. إنها مؤسسة منظمة وهرمية تضم مشرفين، ومديرين، وعمالًا مدربين، وبنية تحتية للدفع تعمل منذ شهور دون انقطاع. بالنسبة لأي مشروع عملات مشفرة، أو بورصة، أو منظمة مستقلة لامركزية (DAO) توظف مساهمين عن بعد، هذه ليست مشكلة بعيدة. هؤلاء العمال يتقدمون لوظائف الآن، بسير ذاتية مصقولة ووجوه قد لا تكون وجوههم الحقيقية. لم يكن التحقق أكثر أهمية من أي وقت مضى.


البلوكشين شفاف. تعول هذه الشبكات على عدم انتباه الصناعة.


جميع الآراء الواردة هنا هي آراء شخصية للمؤلف، ولا تشكل نصيحة استثمارية.

أحدث المقالات

مؤشر الخوف والطمع

تداول
30
يخاف
ما رأيك في توجهات السوق الحالية؟
+78.57%+21.42%
التداول الفوريالعقود الآجلة
لا توجد بيانات