उत्तर कोरियाई क्रिप्टो मशीन के अंदर: ZachXBT की नवीनतम जांच
yo****@gmail.com2026-04-19
ZachXBT ने एक उत्तर कोरियाई आईटी कर्मचारी नेटवर्क का खुलासा किया जो नकली पहचान और एक छिपे हुए भुगतान मंच के माध्यम से मासिक $1 मिलियन से अधिक क्रिप्टो निकाल रहा है।
ब्लॉकचेन अन्वेषक ZachXBT ने अपनी अब तक की सबसे विस्तृत रिपोर्टों में से एक प्रकाशित की है, और यह इस बात से पर्दा उठाता है कि कैसे उत्तर कोरियाई आईटी कार्यकर्ता हर महीने क्रिप्टो उद्योग से लाखों डॉलर निकाल रहे हैं।
एक अनाम स्रोत ने ZachXBT को एक आंतरिक उत्तर कोरियाई भुगतान सर्वर से निकाले गए डेटा सौंपे। डेटासेट में दिसंबर 2025 से अप्रैल 2026 तक के 390 खाते, निजी चैट लॉग और क्रिप्टो लेनदेन रिकॉर्ड शामिल थे। इसमें से कुछ भी कभी सार्वजनिक नहीं किया गया था। ZachXBT को अंदर जो मिला, वह धोखाधड़ी वाली पहचानों, जाली कानूनी दस्तावेजों और एक अचूक क्रिप्टो-टू-फिएट रूपांतरण नेटवर्क के माध्यम से प्रति माह लगभग $1 मिलियन उत्पन्न करने वाली एक पूरी तरह से सक्रिय, संगठित योजना थी।
इस ऑपरेशन के केंद्र में luckyguys[.]site नामक एक साइट थी — एक आंतरिक प्रेषण मंच जिसका उपयोग DPRK (उत्तर कोरियाई) आईटी कार्यकर्ता अपने संचालकों को भुगतान की रिपोर्ट करने के लिए करते थे। इसे पैसे निकालने के लिए विशेष रूप से बनाए गए एक निजी मैसेंजर के रूप में सोचें। प्लेटफॉर्म का डिफ़ॉल्ट पासवर्ड 123456 था। दस उपयोगकर्ताओं ने इसे कभी नहीं बदला था। उपयोगकर्ता सूची में वास्तविक कोरियाई नाम, शहर के स्थान, कोडित समूह नाम औरassigned भूमिकाएँ शामिल थीं। डेटा में दिखाई देने वाली तीन कंपनियाँ वर्तमान में OFAC द्वारा प्रतिबंधित हैं: सोबेक्सू, साएनल और सोंगक्वांग।
नवंबर 2025 के अंत से, इस नेटवर्क से जुड़े भुगतान वॉलेट पतों के माध्यम से $3.5 मिलियन से अधिक का लेनदेन हुआ। यह तरीका सभी उपयोगकर्ताओं में समान था। कार्यकर्ता किसी एक्सचेंज या सेवा से क्रिप्टो प्राप्त करते थे, या Payoneer जैसे प्लेटफार्मों के माध्यम से चीनी बैंक खातों के माध्यम से कमाई को फिएट में परिवर्तित करते थे। PC-1234 के रूप में पहचाना गया एक केंद्रीय एडमिन खाता रसीद की पुष्टि करता था और उस चक्र में उपयोग किए जा रहे किसी भी एक्सचेंज या फिनटेक प्लेटफॉर्म के लिए क्रेडेंशियल वितरित करता था। दिसंबर 2025 में Tether द्वारा एक Tron भुगतान पता फ्रीज कर दिया गया था — जिसका अर्थ है कि किसी को पहले से ही पता था कि यह हो रहा है। इसने नेटवर्क को नहीं रोका।
"जेरी" नामक एक कार्यकर्ता को Astrill VPN के माध्यम से कनेक्ट रहते हुए नकली पहचान के तहत दूरस्थ नौकरियों के लिए आवेदन करते हुए पकड़ा गया था। आंतरिक संदेशों से पता चला कि कार्यकर्ता एक समाचार लेख पर चर्चा कर रहे थे जिसमें एक DPRK आईटी कार्यकर्ता को नौकरी के साक्षात्कार के दौरान डीपफेक तकनीक का उपयोग करते हुए पकड़ा गया था, और घबराकर यह सोच रहे थे कि क्या यह उनमें से एक था। तैंतीस कार्यकर्ताओं को एक ही नेटवर्क पर संवाद करते हुए पाया गया। यह कोई छोटी, अलग-थलग इकाई नहीं थी। यह एक कार्यबल था, जिसमें संरचना, अनुशासन और एक बहुत स्पष्ट कमांड श्रृंखला थी।
नवंबर 2025 और फरवरी 2026 के बीच, नेटवर्क के एडमिन ने Hex-Rays और IDA Pro पर केंद्रित 43 प्रशिक्षण मॉड्यूल वितरित किए — जो रिवर्स इंजीनियरिंग और बाइनरी विश्लेषण के लिए उपयोग किए जाने वाले पेशेवर उपकरण हैं। सामग्री में डिसअसेंबली, डीकंपाइलेशन, डीबगिंग और शत्रुतापूर्ण निष्पादन योग्य फ़ाइलों को अनपैक करना शामिल था। ये किसी बुनियादी घोटाले के उपकरण नहीं हैं। ये गंभीर नुकसान पहुँचाने की तैयारी कर रहे लोगों के उपकरण हैं।
ZachXBT ध्यान दिलाते हैं कि यह समूह AppleJeus और TraderTraitor जैसे अधिक खतरनाक उत्तर कोरियाई खतरे वाले समूहों से नीचे आता है, जो रिकॉर्ड पर कुछ सबसे बड़े क्रिप्टो चोरी के लिए जिम्मेदार हैं। यह समूह पदानुक्रम में निचला है। लेकिन निचला होने का मतलब हानिरहित होना नहीं है। ZachXBT ने पहले अनुमान लगाया था कि DPRK आईटी कार्यकर्ता सामूहिक रूप से उद्योग भर में प्रति माह कई सात-आंकड़ा संख्या उत्पन्न करते हैं, और यह जांच रसीदों के साथ उस संख्या का समर्थन करती है। ZachXBT के प्रकाशित करने के तुरंत बाद आंतरिक भुगतान साइट बंद हो गई। सारा डेटा पहले ही संग्रहीत किया जा चुका था।
उद्योग की प्रतिक्रिया
ZachXBT की रिपोर्ट खामोशी से सामने नहीं आई। यह ऐसे सप्ताह के बीच में आई जब उद्योग पहले से ही क्रिप्टो टीमों के भीतर उत्तर कोरिया की उपस्थिति के पैमाने से जूझ रहा था। रिपोर्ट से कुछ दिन पहले, MetaMask सुरक्षा शोधकर्ता टेलर मोनाहन ने दावा किया था कि 40 से अधिक DeFi प्लेटफार्मों ने अनजाने में राज्य-प्रायोजित उत्तर कोरियाई डेवलपर्स को नियुक्त किया था, जिनमें से कुछ 2020 में DeFi ग्रीष्मकाल तक के थे। "आप जिन प्रोटोकॉल को जानते और पसंद करते हैं, उनमें से कई DPRK आईटी कार्यकर्ताओं ने बनाए हैं," उन्होंने X पर लिखा, यह जोड़ते हुए कि इनमें से कई कार्यकर्ताओं के पास वास्तविक ब्लॉकचेन अनुभव था, जिसने उन्हें पहचानना असाधारण रूप से मुश्किल बना दिया था।
ZachXBT स्वयं, जब इन युक्तियों की परिष्कारता के बारे में पूछा गया, तो सीधे थे। उन्होंने कहा, "नौकरी के विज्ञापनों, लिंक्डइन, ईमेल, ज़ूम या साक्षात्कारों के माध्यम से खतरे बुनियादी हैं और किसी भी तरह से परिष्कृत नहीं हैं।" "इसके बारे में एक ही बात है कि वे अथक हैं।"
व्यापक समुदाय की प्रतिक्रिया मिली-जुली थी। कई लोगों ने उन टीमों के बीच भर्ती में लापरवाही की ओर इशारा किया जो संभावित सुरक्षा खतरों के प्रति सतर्क होने पर रक्षात्मक हो जाती हैं। अन्य लोगों ने आंकड़ों की ओर इशारा किया: 2025 में, DPRK से जुड़े समूहों ने कम से कम $2.02 बिलियन मूल्य की क्रिप्टोकरेंसी चुराई — जो उस वर्ष की वैश्विक चोरी का 60% थी — जिसमें $1.5 बिलियन का Bybit हैक भी शामिल था। यह नवीनतम जांच कोई अलग घटना नहीं है। यह एक बहुत बड़े ऑपरेशन का एक दृश्यमान हिस्सा है।
यह जांच यह स्पष्ट करती है कि उत्तर कोरिया का क्रिप्टो ऑपरेशन दुष्ट फ्रीलांसरों का संग्रह नहीं है। यह संचालकों, एडमिनों, प्रशिक्षित कार्यकर्ताओं और एक भुगतान अवसंरचना के साथ एक संरचित, पदानुक्रमित उद्यम है जो महीनों से बिना किसी रुकावट के चल रहा है। किसी भी क्रिप्टो प्रोजेक्ट, एक्सचेंज या DAO के लिए जो दूरस्थ योगदानकर्ताओं को नियुक्त करता है, यह कोई दूर की समस्या नहीं है। ये कार्यकर्ता अभी नौकरियों के लिए आवेदन कर रहे हैं, जिनके पास पॉलिश किए गए पोर्टफोलियो और ऐसे चेहरे हैं जो उनके अपने नहीं हो सकते हैं। सत्यापन का महत्व कभी इतना अधिक नहीं रहा।
ब्लॉकचेन पारदर्शी है। ये नेटवर्क इस बात पर निर्भर कर रहे हैं कि उद्योग ध्यान नहीं देगा।
