Binnen de Noord-Koreaanse Crypto Machine: ZachXBT's Laatste Onderzoek

Blockchain-onderzoeker ZachXBT heeft een van zijn meest gedetailleerde rapporten tot nu toe gepubliceerd, en het onthult hoe Noord-Koreaanse IT-werknemers de crypto-industrie maandelijks miljoenen ontnemen.

Een anonieme bron overhandigde ZachXBT gegevens die waren geëxfiltreerd van een interne Noord-Koreaanse betaalserver. De dataset bevatte 390 accounts, privé chatlogs en crypto transactierecords van december 2025 tot en met april 2026. Niets hiervan was ooit openbaar gemaakt. Wat ZachXBT daarin aantrof, was een volledig operationeel, georganiseerd systeem dat ongeveer 1 miljoen dollar per maand genereerde via frauduleuze identiteiten, vervalste juridische documenten en een waterdicht crypto-naar-fiat-conversienetwerk.

Centraal in de operatie stond een site genaamd luckyguys[.]site – een intern overmakingsplatform dat door IT-werknemers van de DVK werd gebruikt om betalingen aan hun opdrachtgevers te rapporteren. Zie het als een privé-berichtendienst die speciaal is gebouwd voor het doorsluizen van geld. Het standaardwachtwoord van het platform was 123456. Tien gebruikers hadden dit nooit gewijzigd. De gebruikerslijst bevatte echte Koreaanse namen, stadslocaties, gecodeerde groepsnamen en toegewezen rollen. Drie van de bedrijven die in de gegevens voorkwamen, zijn momenteel gesanctioneerd door OFAC: Sobaeksu, Saenal en Songkwang.

Sinds eind november 2025 is meer dan 3,5 miljoen dollar gepasseerd via de aan dit netwerk gekoppelde betaalwalletadressen. De methode was consistent bij alle gebruikers. Werknemers ontvingen crypto van een exchange of dienst, of zetten hun inkomsten om naar fiat via Chinese bankrekeningen via platforms zoals Payoneer. Een centraal beheerdersaccount, geïdentificeerd als PC-1234, bevestigde de ontvangst en distribueerde inloggegevens voor welke exchange of fintech-platform dan ook in die cyclus werd gebruikt. Eén Tron-betaaladres werd in december 2025 door Tether bevroren – wat betekent dat iemand al wist dat dit gaande was. Het stopte het netwerk echter niet.

Een werknemer, aangeduid als "Jerry", werd betrapt op het solliciteren naar externe banen onder valse persona's, terwijl hij verbonden was via Astrill VPN. Interne berichten toonden aan dat werknemers een nieuwsartikel bespraken over een DVK IT-werknemer die betrapt was op het gebruik van deepfake-technologie tijdens een sollicitatiegesprek, en zich zenuwachtig afvroegen of het een van hen was. Drieëndertig werknemers werden aangetroffen die via hetzelfde netwerk communiceerden. Dit was geen kleine geïsoleerde cel. Het was een beroepsbevolking, met structuur, discipline en een zeer duidelijke commandostructuur.

Tussen november 2025 en februari 2026 distribueerde de beheerder van het netwerk 43 trainingsmodules gericht op Hex-Rays en IDA Pro — professionele tools die worden gebruikt voor reverse engineering en binaire analyse. De materialen behandelden demontage, decompilatie, debugging en het uitpakken van vijandige uitvoerbare bestanden. Dit zijn niet de tools van een eenvoudige oplichtingspraktijk. Het zijn de tools van mensen die zich voorbereiden op het aanrichten van ernstige schade.

ZachXBT merkt zorgvuldig op dat deze groep zich onder de gevaarlijkere Noord-Koreaanse dreigingsgroepen bevindt, zoals AppleJeus en TraderTraitor, die verantwoordelijk zijn voor enkele van de grootste crypto-overvallen ooit. Deze groep staat lager op de ladder. Maar lager betekent niet ongevaarlijk. ZachXBT heeft eerder geschat dat DVK IT-werknemers gezamenlijk maandelijks meerdere zeven-cijferige bedragen genereren in de hele industrie, en dit onderzoek ondersteunt dat cijfer met bewijzen. De interne betaalsite ging kort nadat ZachXBT publiceerde offline. Alle gegevens waren al gearchiveerd.

De industrie reageert

Het rapport van ZachXBT viel niet in stilte. Het verscheen midden in een week waarin de industrie al worstelde met de omvang van de Noord-Koreaanse aanwezigheid binnen cryptoteams. Dagen voor het rapport beweerde MetaMask-beveiligingsonderzoeker Taylor Monahan dat meer dan 40 DeFi-platforms onbewust door de staat gesponsorde Noord-Koreaanse ontwikkelaars in dienst hadden genomen, sommigen al sinds de DeFi-zomer van 2020. "Veel DVK IT-werknemers hebben de protocollen gebouwd die je kent en waar je van houdt," schreef ze op X, eraan toevoegend dat veel van deze werknemers echte blockchain-ervaring hadden, wat ze uitzonderlijk moeilijk te identificeren maakte.

ZachXBT zelf was direct toen hem werd gevraagd naar de verfijning van deze tactieken. "Bedreigingen via vacatures, LinkedIn, e-mail, Zoom of sollicitatiegesprekken zijn basaal en op geen enkele manier verfijnd," zei hij. "Het enige eraan is dat ze meedogenloos zijn."

De bredere gemeenschapsreactie was gemengd. Velen wezen op nalatigheid bij het aannemen van personeel door teams die defensief worden wanneer ze worden gealarmeerd voor potentiële veiligheidsrisico's. Anderen wezen op de cijfers: in 2025 stalen aan de DVK gelinkte groepen minstens 2,02 miljard dollar aan cryptocurrency — 60% van de wereldwijde diefstal dat jaar — inclusief een Bybit-hack van 1,5 miljard dollar. Dit nieuwste onderzoek is geen op zichzelf staand incident. Het is een zichtbaar onderdeel van een veel grotere operatie.

Wat dit onderzoek duidelijk maakt, is dat Noord-Korea's crypto-operatie geen verzameling van malafide freelancers is. Het is een gestructureerde, hiërarchische onderneming met opdrachtgevers, beheerders, getrainde werknemers en een betalingsinfrastructuur die al maanden ononderbroken draait. Voor elk cryptoproject, exchange of DAO dat externe medewerkers inhuurt, is dit geen ver verwijderd probleem. Deze werknemers solliciteren nu naar banen, met gepolijste portfolio's en gezichten die misschien niet hun eigen gezicht zijn. Verificatie is nog nooit zo belangrijk geweest.

De blockchain is transparant. Deze netwerken rekenen erop dat de industrie niet oplet.