Wewnątrz Północnokoreańskiej Maszyny Kryptowalutowej: Najnowsze Śledztwo ZachXBT

Śledczy blockchainowy ZachXBT opublikował jeden ze swoich dotychczas najbardziej szczegółowych raportów, który ujawnia, w jaki sposób północnokoreańscy pracownicy IT wyłudzają z branży kryptowalut miliony dolarów każdego miesiąca.

Anonimowe źródło przekazało ZachXBT dane wyeksfiltrowane z wewnętrznego północnokoreańskiego serwera płatności. Zestaw danych zawierał 390 kont, prywatne logi czatów oraz zapisy transakcji kryptowalutowych obejmujące okres od grudnia 2025 do kwietnia 2026. Żaden z tych elementów nigdy wcześniej nie został upubliczniony. To, co ZachXBT odkrył, to w pełni operacyjny, zorganizowany schemat generujący około 1 miliona dolarów miesięcznie za pomocą fałszywych tożsamości, sfałszowanych dokumentów prawnych i szczelnej sieci konwersji krypto-na-fiat.

W centrum operacji znajdowała się strona luckyguys[.]site — wewnętrzna platforma do przekazów pieniężnych, używana przez pracowników IT KRLD do raportowania płatności swoim opiekunom. Można to porównać do prywatnego komunikatora stworzonego specjalnie do przesyłania pieniędzy. Domyślne hasło platformy to 123456. Dziesięciu użytkowników nigdy go nie zmieniło. Lista użytkowników zawierała prawdziwe koreańskie nazwiska, lokalizacje miast, zakodowane nazwy grup i przypisane role. Trzy firmy, które pojawiły się w danych, są obecnie objęte sankcjami OFAC: Sobaeksu, Saenal i Songkwang.

Od końca listopada 2025 roku przez adresy portfeli płatniczych powiązane z tą siecią przepłynęło ponad 3,5 miliona dolarów. Metoda była spójna dla wszystkich użytkowników. Pracownicy otrzymywali kryptowaluty z giełdy lub usługi, lub zamieniali zarobki na waluty fiducjarne za pośrednictwem chińskich kont bankowych poprzez platformy takie jak Payoneer. Centralne konto administratora zidentyfikowane tylko jako PC-1234 potwierdzało odbiór i dystrybuowało dane uwierzytelniające dla giełdy lub platformy fintech, która była używana w danym cyklu. Jeden adres płatniczy Tron został zamrożony przez Tether w grudniu 2025 roku — co oznacza, że ktoś już wiedział, co się dzieje. Nie zatrzymało to jednak sieci.

Jeden pracownik, nazywany „Jerrym”, został przyłapany na aplikowaniu o zdalne prace pod fałszywymi tożsamościami, łącząc się przez Astrill VPN. Wewnętrzne wiadomości pokazywały, jak pracownicy dyskutują o artykule prasowym dotyczącym pracownika IT KRLD przyłapanego na używaniu technologii deepfake podczas rozmowy kwalifikacyjnej, nerwowo zastanawiając się, czy to jeden z nich. Trzydziestu trzech pracowników komunikowało się w tej samej sieci. Nie była to mała, izolowana komórka. Była to siła robocza ze strukturą, dyscypliną i bardzo wyraźnym łańcuchem dowodzenia.

Między listopadem 2025 a lutym 2026 administrator sieci dystrybuował 43 moduły szkoleniowe skupiające się na Hex-Rays i IDA Pro — profesjonalnych narzędziach używanych do inżynierii wstecznej i analizy binarnej. Materiały obejmowały deasemblację, dekompilację, debugowanie i rozpakowywanie wrogich plików wykonywalnych. To nie są narzędzia prostej operacji oszustwa. To narzędzia ludzi przygotowujących się do wyrządzenia poważnych szkód.

ZachXBT zwraca uwagę, że ta grupa znajduje się poniżej bardziej niebezpiecznych północnokoreańskich grup zagrożenia, takich jak AppleJeus i TraderTraitor, które są odpowiedzialne za jedne z największych udanych kradzieży kryptowalut w historii. Ta grupa jest niżej w hierarchii. Ale niżej nie oznacza nieszkodliwie. ZachXBT wcześniej szacował, że pracownicy IT KRLD łącznie generują miesięcznie wiele siedmiocyfrowych kwot w całej branży, a to śledztwo potwierdza tę liczbę dowodami. Wewnętrzna strona płatności zgasła wkrótce po publikacji ZachXBT. Wszystkie dane zostały już zarchiwizowane.

Reakcja Branży

Raport ZachXBT nie przeszedł bez echa. Ukazał się w środku tygodnia, w którym branża już zmagała się ze skalą obecności Korei Północnej w zespołach kryptowalutowych. Na kilka dni przed publikacją raportu, badaczka bezpieczeństwa MetaMask, Taylor Monahan, stwierdziła, że ponad 40 platform DeFi nieświadomie zatrudniało sponsorowanych przez państwo północnokoreańskich deweloperów, a niektóre z tych przypadków sięgały lata DeFi w 2020 roku. „Wielu pracowników IT KRLD zbudowało protokoły, które znacie i kochacie” – napisała na X, dodając, że wielu z tych pracowników miało autentyczne doświadczenie w blockchainie, co czyniło ich wyjątkowo trudnymi do zidentyfikowania.

Sam ZachXBT, zapytany o wyrafinowanie tych taktyk, był bezpośredni. „Zagrożenia poprzez ogłoszenia o pracę, LinkedIn, e-mail, Zoom czy rozmowy kwalifikacyjne są podstawowe i w żaden sposób nie są wyrafinowane” – powiedział. „Jedyne, co je wyróżnia, to ich bezlitosność”.

Reakcja szerszej społeczności była mieszana. Wielu wskazywało na zaniedbania w zatrudnianiu wśród zespołów, które przyjmują postawę obronną, gdy są ostrzegane o potencjalnych zagrożeniach bezpieczeństwa. Inni wskazywali na liczby: w 2025 roku grupy powiązane z KRLD ukradły co najmniej 2,02 miliarda dolarów w kryptowalutach — 60% globalnych kradzieży w tym roku — w tym hack Bybit o wartości 1,5 miliarda dolarów. To najnowsze śledztwo nie jest odosobnionym incydentem. To jeden widoczny element znacznie większej operacji.

To śledztwo jasno pokazuje, że operacja kryptowalutowa Korei Północnej nie jest zbiorem niezależnych, zbuntowanych freelancerów. Jest to strukturalne, hierarchiczne przedsiębiorstwo z opiekunami, administratorami, przeszkolonymi pracownikami i infrastrukturą płatniczą, która działała przez miesiące bez przerwy. Dla każdego projektu kryptowalutowego, giełdy czy DAO, które zatrudnia zdalnych współpracowników, nie jest to odległy problem. Ci pracownicy aplikują o pracę właśnie teraz, z dopracowanymi portfolio i twarzami, które mogą nie być ich własnymi. Weryfikacja nigdy nie była ważniejsza.

Blockchain jest przejrzysty. Te sieci liczą na to, że branża nie zwraca uwagi.