Blockchain-Ermittler ZachXBT hat ein angeblich nordkoreanisches IT-Arbeiternetzwerk aufgedeckt, das monatlich etwa 1 Million US-Dollar durch kryptobezogene Zahlungen und betrügerische Beschäftigungssysteme erwirtschaftet.
In einem detaillierten Thread auf X sagte der Onchain-Ermittler, die Erkenntnisse stammten aus Daten, die von einem internen Zahlungsserver mit 390 Konten exfiltriert wurden.
Der Datensatz umfasse auch Chatprotokolle, Wallet-Aktivitäten und Identitätsnachweise, die zuvor nicht öffentlich gemacht worden waren, so der Krypto-Detektiv.
Laut ZachXBTs Analyse hat eine scheinbar strukturierte Operation, die auf gefälschten Identitäten, falschen Dokumenten und einem gut koordinierten Zahlungsfluss beruht, seit letztem November über 3,5 Millionen US-Dollar eingebracht.
Eine interne Überweisungsplattform, die einem Messaging-Dienst ähnelt, stehe im Mittelpunkt des Systems, sagte er. Die Arbeiter nutzten das Tool, um Einnahmen zu melden und Zahlungsanweisungen von einem zentralen Administratorkonto zu erhalten.
Die Gelder wurden dann üblicherweise über Kryptowährungstransaktionen geleitet, bevor sie über chinesische Bankkonten oder Plattformen wie Payoneer in Fiat-Geld umgewandelt wurden.
ZachXBT verknüpfte mehrere Zahlungsadressen mit bekannten Clustern, die mit nordkoreanischen IT-Arbeiteraktivitäten in Verbindung gebracht werden. Eine mit dem Netzwerk verbundene Tron-Adresse wurde im Dezember von Tether eingefroren, sagte er.
Darüber hinaus enthüllten die Daten operative Details wie VPNs zur Standortverschleierung, Bewerbungen unter falschen Identitäten und sogar interne Kommunikation zwischen mindestens Dutzenden von Arbeitern.
In einem Fall zeigte ein kompromittiertes Gerät Diskussionen über die Zielsetzung eines Krypto-Gaming-Projekts. Es bleibt unklar, ob der Angriff ausgeführt wurde.
Bemerkenswerterweise schien die Gruppe weniger ausgefeilt als höherrangige DPRK-bezogene Operationen wie Lazarus.
ZachXBT sagte jedoch, das Einnahmeprofil stimme mit früheren Schätzungen überein, wonach nordkoreanische IT-Arbeiterschemata monatlich mehrere siebenstellige Beträge generieren.
Die Ergebnisse erweitern einen breiteren Trend nordkoreanisch-verbundener Aktivitäten im Krypto- und Cyberspace, die sich über hochkarätige Hacks hinaus auf Arbeits-, Betrugs- und Zahlungsnetzwerke diversifizieren.
In den letzten Wochen forderte ein Solana-basiertes Projekt namens Stabble Liquiditätsanbieter auf, Gelder abzuheben, nachdem ein ehemaliger nordkoreanischer Mitarbeiter identifiziert wurde. Das Drift-Protokoll brachte auch einen Exploit im Wert von 280 Millionen US-Dollar mit einer monatelangen Social-Engineering-Kampagne in Verbindung, die mutmaßlichen DPRK-Akteuren zugeschrieben wird.
Unterdessen haben US-Behörden auch Vermittler sanktioniert, die mit einem kryptobezogenen System im Wert von 800 Millionen US-Dollar in Verbindung stehen, was das Ausmaß der Aktivitäten im Zusammenhang mit den Cyber-Operationen des Landes unterstreicht.
Haftungsausschluss: The Block ist ein unabhängiges Medienunternehmen, das Nachrichten, Recherchen und Daten liefert. Seit November 2023 ist Foresight Ventures Mehrheitsinvestor von The Block. Foresight Ventures investiert in andere Unternehmen im Kryptobereich. Die Krypto-Börse Bitget ist ein Anker-LP für Foresight Ventures. The Block arbeitet weiterhin unabhängig, um objektive, wirkungsvolle und zeitnahe Informationen über die Kryptoindustrie bereitzustellen. Hier sind unsere aktuellen finanziellen Offenlegungen.
© 2026 The Block. Alle Rechte vorbehalten. Dieser Artikel dient nur zu Informationszwecken. Er stellt keine Rechts-, Steuer-, Anlage-, Finanz- oder sonstige Beratung dar und ist auch nicht dazu bestimmt, als solche verwendet zu werden.
