- พนักงาน IT ของ DPRK ดำเนินการเครือข่ายฉ้อโกงคริปโตมูลค่า $1M/เดือนด้วยระบบที่มีโครงสร้าง
- รหัสผ่านที่อ่อนแอและบริษัทที่อยู่ในรายชื่อ OFAC เปิดเผยช่องโหว่ด้านการดำเนินงานที่สำคัญ
- บันทึกการฝึกอบรมเปิดเผยการวิศวกรรมย้อนกลับที่มีการจัดระเบียบและการฉ้อโกงตัวตนเพื่อสร้างรายได้
การสอบสวนล่าสุดโดยนักวิเคราะห์บล็อกเชน ZachXBT ค้นพบการละเมิดภายในขนาดใหญ่ที่เชื่อมโยงกับพนักงาน IT ของเกาหลีเหนือ ข้อมูลที่รั่วไหลเปิดเผยเครือข่ายของบัญชี 390 บัญชี บันทึกการสนทนา และธุรกรรมคริปโต
นอกจากนี้ การค้นพบยังเปิดเผยระบบที่ประสานงานกันซึ่งประมวลผลประมาณ $1M ต่อเดือนผ่านตัวตนปลอมและการหลอกลวงทางการเงิน ดังนั้น การละเมิดนี้จึงให้ภาพที่หาได้ยากว่าการดำเนินงานเหล่านี้ทำงานอย่างไรเบื้องหลัง
ZachXBT รายงานว่าแหล่งข้อมูลที่ไม่เปิดเผยชื่อให้ข้อมูลหลังจากบุกรุกอุปกรณ์ที่เชื่อมโยงกับพนักงาน IT ของ DPRK การติดเชื้อเกิดจาก infostealer ซึ่งดึงบันทึกการสนทนา IPMsg ประวัติการท่องเว็บ และบันทึกตัวตน
นอกจากนี้ บันทึกยังเปิดเผยแพลตฟอร์มที่เรียกว่า luckyguys[.]site ซึ่งทำหน้าที่เป็นศูนย์กลางการสื่อสารภายใน ระบบนี้ทำงานเหมือนบริการส่งข้อความส่วนตัวสำหรับรายงานการชำระเงินและประสานงานกิจกรรม
โครงสร้างพื้นฐานการชำระเงินและการไหลของการดำเนินงาน
ข้อมูลแสดงระบบท่อการชำระเงินที่มีโครงสร้างซึ่งเชื่อมต่อการไหลของคริปโตกับการแปลงเป็นเงินเฟียต ผู้ใช้โอนเงินจากแลกเปลี่ยนหรือแปลงสินทรัพย์ผ่านบัญชีธนาคารจีนและแพลตฟอร์มฟินเทคเช่น Payoneer ดังนั้น เครือข่ายจึงรักษาสภาพคล่องที่มั่นคงผ่านช่องทางหลายช่องทาง
สิ่งสำคัญคือเซิร์ฟเวอร์ภายในใช้รหัสผ่านเริ่มต้นที่อ่อนแอ 123456 ในบัญชีหลายบัญชี การมองข้ามนี้เปิดเผยช่องว่างด้านความปลอดภัยที่ร้ายแรงภายในระบบ
แพลตฟอร์มประกอบด้วยบทบาทผู้ใช้ ชื่อเกาหลี และข้อมูลตำแหน่งที่สอดคล้องกับโครงสร้างพนักงาน IT ของ DPRK ที่รู้จัก นอกจากนี้ บริษัทสามแห่งที่เชื่อมโยงกับเครือข่ายปรากฏในรายชื่อคว่ำบาตรของ OFAC รวมถึง Sobaeksu, Saenal และ Songkwang
ZachXBT ระบุธุรกรรมมากกว่า $3.5M ที่ไหลเข้าสู่ที่อยู่กระเป๋าเงินที่เกี่ยวข้องตั้งแต่ปลายเดือนพฤศจิกายน 2025 รูปแบบที่สม่ำเสมอเกี่ยวข้องกับการยืนยันแบบรวมศูนย์โดยบัญชีผู้ดูแลที่มีป้ายกำกับ PC-1234 บัญชีนี้ตรวจสอบการชำระเงินและแจกจ่ายข้อมูลรับรองสำหรับแลกเปลี่ยนและแพลตฟอร์มฟินเทค
นอกจากนี้ กระเป๋าเงิน Tron หนึ่งที่เชื่อมโยงกับการดำเนินงานถูกแช่แข็งโดย Tether ในเดือนธันวาคม 2025 การกระทำนี้เน้นย้ำแรงกดดันในการบังคับใช้ที่เพิ่มขึ้นต่อกิจกรรมคริปโตที่ผิดกฎหมายที่เชื่อมโยงกับกลุ่มที่รัฐสนับสนุน
ความลึกของการดำเนินงานและกิจกรรมการฝึกอบรม
การละเมิดยังเปิดเผยการสนทนาภายในและเอกสารการฝึกอบรม ช่อง Slack ภายในแสดงพนักงาน IT ของ DPRK 33 คนสื่อสารพร้อมกันผ่าน IPMsg นอกจากนี้ ผู้ดูแลระบบแจกจ่ายโมดูลการฝึกอบรม 43 โมดูลเกี่ยวกับเครื่องมือเช่น IDA Pro และ Hex-Rays
เอกสารเหล่านี้ครอบคลุมเทคนิควิศวกรรมย้อนกลับ การดีบัก และเทคนิคการใช้ประโยชน์จากซอフต์แวร์ ดังนั้น กลุ่มจึงแสดงให้เห็นการฝึกอบรมที่มีโครงสร้างแม้ว่าจะมีความซับซ้อนจำกัดเมื่อเทียบกับกลุ่มขั้นสูงเช่น AppleJeus หรือ TraderTraitor อย่างไรก็ตาม ขนาดของการดำเนินงานยังคงสร้างสายรายได้ที่สำคัญ
บันทึกที่รั่วไหลยังอ้างอิงความพยายามในการใช้ตัวตนปลอมและแอปพลิเคชัน deepfake สำหรับการแทรกซึมงาน นอกจากนี้ การสนทนาบางส่วนครอบคลุมการกำหนดเป้าหมายแพลตฟอร์มเกมและบริการทางการเงิน
ที่เกี่ยวข้อง: SBI Ripple Asia ได้ดำเนินการเสร็จสิ้นแพลตฟอร์มการออกโทเค็นบน XRP Ledger (XRPL)
ข้อจำกัดความรับผิดชอบ: ข้อมูลที่นำเสนอในบทความนี้มีไว้เพื่อวัตถุประสงค์ในการให้ข้อมูลและการศึกษาเท่านั้น บทความนี้ไม่ถือเป็นคำแนะนำทางการเงินหรือคำแนะนำใดๆ Coin Edition ไม่รับผิดชอบต่อความสูญเสียใดๆ ที่เกิดขึ้นจากการใช้เนื้อหา ผลิตภัณฑ์ หรือบริการที่กล่าวถึง แนะนำให้ผู้อ่านใช้ความระมัดระวังก่อนดำเนินการใดๆ ที่เกี่ยวข้องกับบริษัท
แหล่งที่มา: https://coinedition.com/dprk-it-network-breach-exposes-1m-month-fraud-scheme/
