ZachXBTがリークされた北朝鮮の送金データを公開し、$1M の月次クリプトから法定通貨への送金パイプラインを示す

ブロックチェーン調査者のZachXBTは、2026年4月8日に11回にわたるスレッドを公開し、北朝鮮のDPRK ITワーカーが使用していた社内の北朝鮮決済サーバーから流出したデータを暴露した。2025年11月下旬以降に処理された決済は350万ドル超であることが判明した。

要点:

• ZachXBTの4月8日の調査では、2025年11月下旬以降に350万ドル超を処理したDPRK ITワーカー向けの決済サーバーが明らかになった。
• luckyguys.siteの侵害されたユーザー一覧に、OFACが制裁している3つの団体Sobaeksu、Saenal、Songkwangが登場した。
• 社内のDPRKサイトは2026年4月9日にオフラインになったが、ZachXBTは11回構成のスレッドを公開する前にすべてのデータをアーカイブしていた。

北朝鮮のハッカーは社内の暗号資産決済サーバーでデフォルトパスワード「123456」を使用していた

流出データは、インフォスティーラーのマルウェアにより侵害されたDPRK ITワーカーの端末から得られた。匿名の情報源がファイルをZachXBTに共有し、ZachXBTは、当該資料がこれまで公に公開されたことがないことを確認した。抽出された記録には、約390件のアカウント、IPMsgのチャットログ、でっち上げられた身元、ブラウザ履歴、暗号資産の取引記録が含まれていた。

調査の中心となった社内プラットフォームはluckyguys.siteで、社内ではWebMsgとも呼ばれていた。これはDiscord風のメッセンジャーとして機能し、DPRK ITワーカーが自分たちの担当者に対する支払いを報告できるようにしていた。少なくとも10人のユーザーは、デフォルトパスワードを変更していなかった。同パスワードは「123456」に設定されていた。

ユーザー一覧には、役割、韓国名、都市、既知のDPRK ITワーカーの運用に一致するコード化されたグループ名が含まれていた。一覧に登場する3つの企業Sobaeksu、Saenal、Songkwangは、現在、米国財務省の外国資産管理局（Office of Foreign Assets Control）によって制裁対象となっている。

支払いは、PC-1234として特定された中央の管理者アカウントを通じて確認された。ZachXBTは、ニックネーム「Rascal」のユーザーからのダイレクトメッセージ例を共有しており、2025年12月から2026年4月までの間にわたる詐欺的な身元に紐づく送金が詳細に記されていた。一部のメッセージでは請求書や物品について香港の住所が言及されていたが、その真正性は検証されていない。

関連する支払い用ウォレットアドレスは、その期間に350万ドル超を受け取っており、月あたり約$1 百万ドルに相当する。労働者は、偽造した法的書類と架空の身元を使って雇用を得ていた。暗号資産は、取引所から直接送金されるか、Payoneerのようなプラットフォームを使って中国の銀行口座経由で法定通貨に変換されていた。管理者アカウントPC-1234は、その後、受領を確認し、さまざまな暗号資産およびフィンテックのプラットフォーム向けの認証情報を配布していた。

オンチェーン分析により、内部の決済アドレスはDPRK ITワーカーの既知のクラスターに結び付けられた。特定されたのは2つのアドレスで、1つはEthereumアドレス、もう1つはTronアドレスであり、Tronアドレスは2025年12月にTetherによって凍結されていた。

ZachXBTは完全なデータセットを用いて、ネットワークの組織構造全体をマッピングした。ユーザー別およびグループ別の決済合計を含む。彼は、investigation.io/dprk-itw-breachで、2025年12月から2026年2月までのインタラクティブな組織図を公開した。パスワードは「123456」である。

侵害された端末とチャットログからは、追加の詳細も得られた。労働者は求人に応募する際にAstrill VPNと偽のペルソナを使用していた。社内Slackの議論には、「Nami」という名前のユーザーが、DPRKワーカーのディープフェイク申請に関するブログを共有する投稿が含まれていた。管理者はまた、2025年11月から2026年2月の間に、労働者へ43件のHex-RaysおよびIDA Proのトレーニングモジュールを送っていた。分解、逆コンパイル、デバッグを扱っている。共有されたリンクのうち1つは、敵対的なPE実行ファイルのアンパックに特に言及していた。

33人のDPRK ITワーカーが、同じIPMsgネットワークを通じて通信していることが判明した。別個のログ記録では、ナイジェリアのプロキシを使ってGalaChainのゲームArcanoから盗み取る計画が参照されていたが、その取り組みの結果はデータからは明確ではなかった。

ZachXBTは、このクラスターは、ApplejeusやTradertraitorのようなより上位のDPRKグループよりも、運用面での洗練度が低いと特徴づけた。彼は以前、DPRK ITワーカーは集団として月あたり複数の7桁台の金額を生み出していると推定していた。彼はまた、このような低位グループが脅威アクターを引き寄せるのは、リスクが低く競争が最小限だからだと指摘した。

luckyguys.siteのドメインは、ZachXBTが調査結果を公開した木曜日に、その翌日にオフラインになった。彼は、サイトが停止される前に完全なデータセットがアーカイブされていたことを確認した。

この調査は、DPRK ITワーカーのセルが支払いをどのように集め、偽の身元をどのように維持し、暗号資産と法定通貨のシステムを通じてどのように資金を動かしているのかを、直接的に見ることを可能にする。これらのグループが活動を維持するために依存している規模と運用上のギャップの両方を示す文書が含まれている。