Пароль '123456' раскрыл сеть северокорейских IT-специалистов в криптоиндустрии

Раскрытие тайной сети

Ончейн-детектив ZachXBT обнародовал детали масштабной схемы, в рамках которой IT-специалисты из Северной Кореи, используя поддельные личности, внедряются в криптовалютные проекты с целью их последующего взлома. Информация была получена от анонимного источника, предоставившего данные с внутреннего платежного сервера КНДР. Утечка содержала 390 учетных записей, обширные переписки и записи криптовалютных транзакций.

ZachXBT, потративший значительное время на анализ полученной информации, описал схему как чрезвычайно сложную. Она включала создание фальшивых личностей, использование поддельных документов и ежемесячную конвертацию криптовалютных активов в фиатные деньги на сумму около 1 миллиона долларов. Эти данные, по словам детектива, ранее никогда не публиковались.

Механизм работы схемы

Ключом к расследованию стал взлом компьютера одного из северокорейских IT-специалистов, известного под ником Jerry. Извлеченные данные включали логи чатов мессенджера IPMsg, фальшивые анкеты соискателей и историю браузера. Анализ показал, что мошенники использовали внутреннюю платежную платформу luckyguys[.]site, оформленную в стиле Discord, для отчета перед своими кураторами о полученных платежах.

Примечательно, что для десяти пользователей этой платформы был установлен стандартный пароль «123456», который оставался неизменным. В учетных записях с этим паролем ZachXBT обнаружил информацию о ролях, корейские имена, названия городов и кодовые обозначения групп, что однозначно указывало на деятельность IT-работников из КНДР. Три компании, упомянутые в отчете — Sobaeksu, Saenal и Songkwang — уже находятся под санкциями OFAC. Сразу после публикации расследования сайт luckyguys[.]site прекратил свою работу, однако все данные были предварительно заархивированы.

Детали операций и попытки взломов

В период с декабря 2025 по апрель 2026 года пользователь WebMsg под псевдонимом Rascal активно обсуждал с PC-1234 (администратором сервера) вопросы перевода платежей и создания фальшивых личностей. Все финансовые операции проходили через учетную запись администратора PC-1234, который их подтверждал. Оплата счетов и товаров осуществлялась через адреса в Гонконге, подлинность которых еще проверяется. С конца ноября 2025 года на эти кошельки поступило более 3,5 миллиона долларов.

Схема переводов была стандартизирована: пользователи либо отправляли криптовалюту напрямую с бирж или сервисов, либо конвертировали ее в фиат через китайские банковские счета, используя такие платформы, как Payoneer. ZachXBT смог восстановить полную организационную структуру сети, включая детализацию выплат каждому пользователю и группе за период с декабря 2025 по февраль 2026 года. Анализ внутренних транзакций выявил ончейн-связи с несколькими известными кластерами северокорейских IT-работников. В декабре 2025 года компания Tether заморозила один из таких кошельков в сети TRON.

На взломанном устройстве Jerry были обнаружены следы использования VPN и множество поддельных резюме. В одном из внутренних Slack-чатов пользователь Nami поделился статьей о дипфейк-соискателе из Северной Кореи. Один из коллег задал вопрос, не о них ли идет речь, на что другой заметил, что им запрещено пересылать внешние ссылки. Jerry также активно обсуждал с другим IT-работником из КНДР возможность кражи средств из проекта Arcano (игры на GalaChain) через нигерийский прокси, однако удалось ли им реализовать атаку, остается неизвестным.

Обучение и уровень угрозы

В период с ноября 2025 по февраль 2026 года администратор отправил группе 43 учебных модуля Hex-Rays/IDA Pro. Эти тренинги охватывали такие аспекты кибербезопасности, как дизассемблирование, декомпиляция, локальная и удаленная отладка. ZachXBT отметил, что данная группа IT-специалистов из КНДР менее изощрена по сравнению с такими известными группами, как AppleJeus и TraderTraitor, которые считаются более эффективными и представляют основную угрозу для криптоиндустрии. Ранее детектив оценивал ежемесячные доходы северокорейских разработчиков в несколько миллионов долларов, и последние данные подтвердили эти расчеты.

«Мое непопулярное мнение: хакеры зря не атакуют низкоуровневые группы КНДР. Риск низкий, конкуренции почти нет, а цели, возможно, того стоят», — подчеркнул ончейн-детектив, намекая на потенциальную выгоду от противодействия менее опытным группам.

Что это значит для майнеров и криптосообщества

Выявление подобных схем подчеркивает постоянную угрозу со стороны организованных групп, использующих криптоиндустрию для финансирования и обхода санкций. Для майнеров и участников криптосообщества в России и СНГ это означает необходимость повышенной бдительности. При работе с новыми проектами или найме разработчиков следует тщательно проверять их бэкграунд, особенно если речь идет об удаленной работе. Использование двухфакторной аутентификации, регулярное обновление программного обеспечения и осторожность при взаимодействии с незнакомыми ссылками и файлами остаются критически важными мерами безопасности. Инциденты, подобные этому, напоминают о необходимости комплексного подхода к кибербезопасности в условиях растущего числа кибератак и мошеннических схем в криптопространстве.