Blockchain-onderzoeker ZachXBT heeft naar eigen zeggen een IT-werkersnetwerk gelinkt aan Noord-Korea ontdekt, dat maandelijks ongeveer $1 miljoen genereert via cryptogerelateerde betalingen en frauduleuze werkgelegenheidsregelingen.
In een gedetailleerde draad op X zei de onchain-speurder dat de bevindingen voortkomen uit gegevens die zijn geëxfiltreerd van een interne betalingsserver gekoppeld aan 390 accounts.
De datacache bevat ook chatlogboeken, wallet-activiteit en identiteitsgegevens die voorheen niet openbaar waren gemaakt, aldus de crypto-detective.
Volgens de analyse van ZachXBT heeft wat een gestructureerde operatie lijkt te zijn, die steunt op vervalste persona's, valse documenten en een goed gecoördineerde betalingsstroom, sinds november vorig jaar meer dan $3,5 miljoen opgeleverd.
Een intern overboekingsplatform dat lijkt op een berichtendienst staat centraal in het systeem, zei hij. Werknemers gebruiken de tool om inkomsten te rapporteren en betalingsinstructies te ontvangen van een centraal beheerdersaccount.
Vervolgens werden fondsen meestal via cryptocurrency-transacties geleid voordat ze werden omgezet naar fiatgeld met behulp van Chinese bankrekeningen of platforms zoals Payoneer.
ZachXBT koppelde verschillende betalingsadressen aan bekende clusters geassocieerd met Noord-Koreaanse IT-werkeractiviteit. Eén Tron-adres dat met het netwerk was verbonden, werd in december door Tether bevroren, zei hij.
Bovendien onthulden de gegevens operationele details zoals VPN's om locaties te maskeren, sollicitaties ingediend onder valse identiteiten en zelfs interne communicatie tussen ten minste tientallen werknemers.
In één geval toonde een gecompromitteerd apparaat discussies over het richten op een crypto-gamingproject. Het blijft onduidelijk of de aanval is uitgevoerd.
Opmerkelijk is dat de groep minder geavanceerd leek dan meer spraakmakende DPRK-gerelateerde operaties zoals Lazarus.
Echter, ZachXBT zei dat het inkomstenprofiel overeenkomt met eerdere schattingen dat Noord-Koreaanse IT-werkerregelingen maandelijks meerdere zeven-cijferige bedragen genereren.
De bevindingen dragen bij aan een bredere trend van aan Noord-Korea gekoppelde activiteit in crypto en cyberspace, die verder gaat dan spraakmakende hacks naar arbeid, fraude en betalingsnetwerken.
In de afgelopen weken drong een op Solana gebaseerd project, bekend als Stabble, er bij liquiditeitsverschaffers op aan om fondsen op te nemen na het identificeren van een voormalige Noord-Koreaanse werknemer. Het Drift-protocol koppelde ook een exploit van $280 miljoen aan een maandenlange social engineering-campagne toegeschreven aan vermoedelijke DPRK-actoren.
Ondertussen hebben de Amerikaanse autoriteiten ook facilitators gesanctioneerd die verbonden zijn aan een cryptogerelateerde regeling van $800 miljoen, wat de omvang van de activiteit benadrukt die verband houdt met de cyberoperaties van het land.
Disclaimer: The Block is een onafhankelijk mediabedrijf dat nieuws, onderzoek en data levert. Per november 2023 is Foresight Ventures een meerderheidsinvesteerder van The Block. Foresight Ventures investeert in andere bedrijven in de cryptoruimte. Cryptobeurs Bitget is een anker-LP voor Foresight Ventures. The Block blijft onafhankelijk opereren om objectieve, impactvolle en tijdige informatie over de crypto-industrie te leveren. Hier zijn onze huidige financiële openbaarmakingen.
© 2026 The Block. Alle rechten voorbehouden. Dit artikel is uitsluitend bedoeld voor informatieve doeleinden. Het wordt niet aangeboden of is niet bedoeld om te worden gebruikt als juridisch, fiscaal, beleggings-, financieel of ander advies.
