DPRK IT-netwerkbreuk legt $1M/maand fraudeschema bloot

• DPRK IT-medewerkers voerden een cryptofraude-netwerk van $1M/maand uit met gestructureerde pijplijnen.
• Zwakke wachtwoorden en op de OFAC-lijst geplaatste bedrijven onthulden grote operationele kwetsbaarheden.
• Trainingslogboeken onthullen georganiseerde reverse-engineering en identiteitsfraude voor inkomsten.

Een recent onderzoek door blockchain-analist ZachXBT onthulde een grootschalige interne inbreuk gekoppeld aan Noord-Koreaanse IT-medewerkers. De gelekte gegevens onthulden een netwerk van 390 accounts, chatlogboeken en cryptotransacties. 

Bovendien onthullen de bevindingen een gecoördineerd systeem dat ongeveer $1M per maand verwerkte via frauduleuze identiteiten en financiële misleiding. Bijgevolg biedt de inbreuk zeldzame zichtbaarheid in hoe deze operaties achter de schermen functioneren.

ZachXBT meldde dat een ongenoemde bron de gegevens verstrekte na het compromitteren van een apparaat gekoppeld aan een DPRK IT-medewerker. De infectie kwam voort uit een infostealer, die IPMsg-chatlogboeken, browsergeschiedenis en identiteitsgegevens extraheerde. 

Bovendien onthulden de logboeken een platform genaamd luckyguys[.]site, dat fungeerde als een intern communicatieknooppunt. Dit systeem functioneerde als een privéberichtendienst voor het rapporteren van betalingen en het coördineren van activiteiten.

Betalingsinfrastructuur en Operationele Stroom

De gegevens tonen een gestructureerde betalingspijplijn die cryptostromen verbindt met fiatconversie. Gebruikers droegen fondsen over van beurzen of converteerden activa via Chinese bankrekeningen en fintech-platforms zoals Payoneer. Daarom behield het netwerk gestage liquiditeit over meerdere kanalen.

Opvallend is dat de interne server een zwak standaardwachtwoord, 123456, gebruikte over meerdere accounts. Dit toezicht onthulde ernstige beveiligingslacunes binnen het systeem. 

Het platform omvatte gebruikersrollen, Koreaanse namen en locatiegegevens, die overeenkwamen met bekende DPRK IT-medewerkerstructuren. Bovendien verschenen drie bedrijven gekoppeld aan het netwerk op OFAC-sanctielijsten, waaronder Sobaeksu, Saenal en Songkwang.

ZachXBT identificeerde meer dan $3,5M aan transacties die sinds eind november 2025 naar gekoppelde wallet-adressen stroomden. Het consistente patroon omvatte gecentraliseerde bevestiging door een beheerdersaccount gelabeld PC-1234. Dit account valideerde betalingen en verspreidde inloggegevens voor beurzen en fintech-platforms.

Bovendien werd een Tron-wallet gekoppeld aan de operatie bevroren door Tether in december 2025. Deze actie benadrukte toenemende handhavingsdruk op illegale cryptoactiviteit gekoppeld aan door de staat gesteunde groepen.

Operationele Diepgang en Trainingsactiviteiten

De inbreuk onthulde ook interne discussies en trainingsmateriaal. Een intern Slack-kanaal toonde 33 DPRK IT-medewerkers die gelijktijdig communiceerden via IPMsg. Bovendien verspreidden beheerders 43 trainingsmodules over tools zoals IDA Pro en Hex-Rays.

Deze materialen behandelden reverse-engineering, debugging en software-exploitatietechnieken. Bijgevolg demonstreerde de groep gestructureerde training ondanks beperkte verfijning vergeleken met geavanceerde groepen zoals AppleJeus of TraderTraitor. Echter, de schaal van operaties genereerde nog steeds aanzienlijke inkomstenstromen.

De gelekte logboeken verwezen ook naar pogingen om valse identiteiten en deepfake-applicaties te gebruiken voor baninfiltratie. Bovendien behandelden sommige gesprekken het targeten van gamingplatforms en financiële diensten.

Gerelateerd: SBI Ripple Asia heeft zijn token-uitgifteplatform op XRP Ledger (XRPL) voltooid