În interiorul mașinii crypto nord-coreene: cea mai recentă anchetă a lui ZachXBT

Investigatorul blockchain ZachXBT a publicat unul dintre cele mai detaliate rapoarte ale sale de până acum și ridică vălul de pe modul în care lucrătorii IT nord-coreeni sustrag milioane de dolari lunar din industria cripto.

O sursă anonimă i-a transmis lui ZachXBT date exfiltrate de pe un server intern de plăți nord-coreean. Setul de date conținea 390 de conturi, jurnale de chat private și înregistrări de tranzacții cripto din decembrie 2025 până în aprilie 2026. Niciuna dintre acestea nu fusese făcută publică vreodată. Ceea ce a descoperit ZachXBT a fost o schemă complet operațională, organizată, generând aproximativ 1 milion de dolari pe lună prin identități frauduloase, documente legale falsificate și o rețea etanșă de conversie cripto-fiat.

În centrul operațiunii se afla un site numit luckyguys[.]site — o platformă internă de remitențe folosită de lucrătorii IT din RPDC pentru a raporta plățile către coordonatorii lor. Gândiți-vă la ea ca la un mesager privat construit special pentru a canaliza bani. Parola implicită a platformei era 123456. Zece utilizatori nu o schimbaseră niciodată. Lista de utilizatori includea nume coreene reale, locații de oraș, nume de grup codificate și roluri atribuite. Trei dintre companiile care au apărut în date sunt în prezent sancționate de OFAC: Sobaeksu, Saenal și Songkwang.

De la sfârșitul lunii noiembrie 2025, peste 3,5 milioane de dolari au trecut prin adresele portofelelor de plată legate de această rețea. Metoda era consecventă la toți utilizatorii. Lucrătorii primeau cripto de la un exchange sau serviciu, sau converteau câștigurile în fiat prin conturi bancare chinezești via platforme precum Payoneer. Un cont de administrator central, identificat doar ca PC-1234, confirma primirea și distribuia credențiale pentru oricare exchange sau platformă fintech era utilizată în acel ciclu. O adresă de plată Tron a fost înghețată de Tether în decembrie 2025 — ceea ce înseamnă că cineva știa deja ce se întâmpla. Acest lucru nu a oprit rețeaua.

Un lucrător, denumit „Jerry”, a fost prins aplicând pentru locuri de muncă la distanță sub false identități, în timp ce era conectat printr-un VPN Astrill. Mesajele interne au arătat lucrători discutând un articol de știri despre un lucrător IT din RPDC prins folosind tehnologia deepfake în timpul unui interviu de angajare, întrebându-se nervos dacă era vorba despre unul dintre ei. Treizeci și trei de lucrători au fost găsiți comunicând în aceeași rețea. Aceasta nu era o celulă mică, izolată. Era o forță de muncă, cu structură, disciplină și un lanț de comandă foarte clar.

Între noiembrie 2025 și februarie 2026, administratorul rețelei a distribuit 43 de module de instruire axate pe Hex-Rays și IDA Pro — instrumente profesionale utilizate pentru inginerie inversă și analiză binară. Materialele acopereau dezasamblarea, decompilarea, depanarea și despachetarea executabilelor ostile. Acestea nu sunt instrumentele unei operațiuni de înșelăciune de bază. Sunt instrumentele unor persoane care se pregătesc să provoace daune grave.

ZachXBT este atent să noteze că acest grup se află sub grupurile de amenințare nord-coreene mai periculoase, cum ar fi AppleJeus și TraderTraitor, care sunt responsabile pentru unele dintre cele mai mari furturi de criptomonede înregistrate. Acest grup este mai jos pe scară. Dar mai jos nu înseamnă inofensiv. ZachXBT a estimat anterior că lucrătorii IT din RPDC generează colectiv multiple cifre de șapte cifre lunar în întreaga industrie, iar această investigație susține acest număr cu dovezi. Site-ul intern de plăți a devenit inaccesibil la scurt timp după publicarea lui ZachXBT. Toate datele fuseseră deja arhivate.

Industria Reacționează

Raportul lui ZachXBT nu a căzut în tăcere. A apărut în mijlocul unei săptămâni în care industria se confrunta deja cu amploarea prezenței Coreei de Nord în echipele cripto. Cu zile înainte de raport, cercetătorul de securitate MetaMask, Taylor Monahan, a susținut că peste 40 de platforme DeFi angajaseră, fără să știe, dezvoltatori nord-coreeni sponsorizați de stat, unii mergând până la vara DeFi din 2020. „Mulți lucrători IT din RPDC au construit protocoalele pe care le cunoașteți și le iubiți”, a scris ea pe X, adăugând că mulți dintre acești lucrători aveau o experiență autentică în blockchain, ceea ce îi făcea excepțional de dificil de identificat.

ZachXBT însuși, întrebat despre sofisticarea acestor tactici, a fost direct. „Amenințările prin anunțuri de angajare, LinkedIn, e-mail, Zoom sau interviuri sunt elementare și în niciun caz sofisticate”, a spus el. „Singurul lucru în privința asta este că sunt neobosiți.”

Reacția comunității mai largi a fost mixtă. Mulți au indicat neglijența la angajare în rândul echipelor care devin defensive atunci când sunt alertate cu privire la potențiale amenințări de securitate. Alții au indicat cifrele: în 2025, grupările legate de RPDC au furat cel puțin 2,02 miliarde de dolari în criptomonede — 60% din furtul global din acel an — inclusiv un hack Bybit de 1,5 miliarde de dolari. Această ultimă investigație nu este un incident izolat. Este o piesă vizibilă dintr-o operațiune mult mai amplă.

Ceea ce scoate în evidență această investigație este că operațiunea cripto a Coreei de Nord nu este o colecție de freelanceri nelegiuiți. Este o întreprindere structurată, ierarhică, cu coordonatori, administratori, lucrători instruiți și o infrastructură de plată care funcționează de luni de zile fără întrerupere. Pentru orice proiect cripto, exchange sau DAO care angajează colaboratori la distanță, aceasta nu este o problemă îndepărtată. Acești lucrători aplică pentru locuri de muncă chiar acum, cu portofolii șlefuite și fețe care s-ar putea să nu fie ale lor. Verificarea nu a contat niciodată mai mult.

Blockchain-ul este transparent. Aceste rețele se bazează pe faptul că industria nu este atentă.