Der Blockchain-Ermittler ZachXBT veröffentlichte am 8. April 2026 einen aus 11 Teilen bestehenden Thread und deckte Daten auf, die aus einem internen nordkoreanischen Zahlungsserver entwendet wurden, der von DPRK-IT-Mitarbeitern genutzt wird. Dabei zeigte sich, dass seit Ende November 2025 über 3,5 Millionen US-Dollar an verarbeiteten Zahlungen angefallen waren.
Wichtigste Erkenntnisse:
- Die Untersuchung von ZachXBT vom 8. April deckte einen Zahlungsserver für DPRK-IT-Mitarbeiter auf, der seit Ende November 2025 über 3,5 Millionen US-Dollar verarbeitet hat.
- Drei vom OFAC sanktionierte Einrichtungen, Sobaeksu, Saenal und Songkwang, tauchten in der durch luckyguys.site durchgesickerten Benutzerliste auf.
- Die interne DPRK-Seite ging am 9. April 2026 offline, aber ZachXBT hat alle Daten archiviert, bevor er den 11-teiligen Thread veröffentlichte.
Nordkoreanische Hacker verwendeten das Standardkennwort „123456“ auf einem internen Crypto-Zahlungsserver
Die geleakten Daten stammten von einem Gerät eines DPRK-IT-Mitarbeiters, das durch Malware zum Infostealing kompromittiert worden war. Eine nicht genannte Quelle stellte die Dateien ZachXBT zur Verfügung, der bestätigte, dass das Material noch nie öffentlich veröffentlicht worden war. Die extrahierten Datensätze umfassten ungefähr 390 Konten, IPMsg-Chatprotokolle, erfundene Identitäten, den Browserverlauf sowie Aufzeichnungen zu Kryptowährungstransaktionen.
Die interne Plattform im Zentrum der Untersuchung war luckyguys.site, die intern auch als WebMsg bezeichnet wurde. Sie fungierte als eine Art Messenger im Stil von Discord und ermöglichte es DPRK-IT-Mitarbeitern, Zahlungen an ihre Auftraggeber zu melden. Mindestens zehn Nutzer hatten das Standardkennwort nie geändert, das auf „123456“ festgelegt war.
Die Benutzerliste enthielt Rollen, koreanische Namen, Städte sowie codierte Gruppennamen, die mit bekannten Abläufen von DPRK-IT-Mitarbeitern übereinstimmten. Drei in der Liste auftauchende Unternehmen, Sobaeksu, Saenal und Songkwang, sind derzeit sanktioniert durch das U.S. Treasury Office of Foreign Assets Control.
Zahlungen wurden über ein zentrales Administratorkonto bestätigt, das als PC-1234 identifiziert wurde. ZachXBT teilte Direktnachrichten-Beispiele eines Nutzers mit Spitznamen „Rascal“, die Überweisungen im Zusammenhang mit betrügerischen Identitäten beschrieben, die von Dezember 2025 bis April 2026 reichten. Einige Nachrichten bezogen sich auf Hongkong-Adressen für Rechnungen und Waren, aber ihre Authentizität wurde nicht verifiziert.
Die zugehörigen Zahlungs-Wallet-Adressen erhielten in diesem Zeitraum mehr als 3,5 Millionen US-Dollar, was etwa $1 Millionen pro Monat entspricht. Mitarbeiter nutzten gefälschte rechtliche Dokumente und falsche Identitäten, um eine Anstellung zu erhalten. Krypto wurde entweder direkt von Börsen übertragen oder zu Fiat umgewandelt, indem es über chinesische Bankkonten unter Verwendung von Plattformen wie Payoneer verarbeitet wurde. Das Administratorkonto PC-1234 bestätigte dann den Erhalt und verteilte Zugangsdaten für verschiedene Krypto- und Fintech-Plattformen.
Die Onchain-Analyse ordnete die internen Zahlungsadressen bekannten Clustern von DPRK-IT-Mitarbeitern zu. Zwei konkrete Adressen wurden identifiziert: eine Ethereum-Adresse und eine Tron-Adresse, die Tether im Dezember 2025 eingefroren hatte.
ZachXBT nutzte den vollständigen Datensatz, um die komplette Organisationsstruktur des Netzwerks abzubilden, einschließlich Zahlungssummen pro Nutzer und pro Gruppe. Er veröffentlichte ein interaktives Org-Chart für Dezember 2025 bis Februar 2026 unter investigation.io/dprk-itw-breach, zugänglich mit dem Passwort „123456.“
Das kompromittierte Gerät und die Chatprotokolle lieferten zusätzliche Details. Mitarbeiter verwendeten Astrill VPN und falsche Personas, um sich für Jobs zu bewerben. Interne Slack-Diskussionen enthielten einen Beitrag eines Nutzers namens „Nami“, der einen Blog über einen DPRK-Worker-Deepfake-Antrag teilte. Der Administrator versendete zudem 43 Hex-Rays- und IDA Pro-Trainingsmodule an Mitarbeiter zwischen November 2025 und Februar 2026, die sich mit Disassemblierung, Dekompilierung und Debugging befassten. Ein geteilter Link behandelte speziell das Entpacken feindlicher PE-Executables.
Dreiunddreißig DPRK-IT-Mitarbeiter wurden dabei gefunden, wie sie über dasselbe IPMsg-Netzwerk kommunizierten. Separat referenzierten Einträge in den Logs Pläne, vom Arcano zu stehlen, einem GalaChain-Spiel, mithilfe eines nigerianischen Proxys, doch unklar war, wie der Ausgang dieses Vorhabens anhand der Daten war.
ZachXBT charakterisierte diesen Cluster als weniger operativ ausgereift als höherklassige DPRK-Gruppen wie Applejeus oder Tradertraitor. Er hatte zuvor geschätzt, dass DPRK-IT-Mitarbeiter insgesamt mehrere siebenstellige Beträge pro Monat generieren. Er stellte außerdem fest, dass Low-Tier-Gruppen wie diese Bedrohungsakteure anziehen, weil das Risiko gering ist und die Konkurrenz minimal.
Die Domain luckyguys.site ging am Donnerstag offline, also am Tag nach dem ZachXBT seine Erkenntnisse veröffentlicht hatte. Er bestätigte, dass der vollständige Datensatz archiviert wurde, bevor die Seite heruntergenommen wurde.
Die Untersuchung bietet einen direkten Einblick, wie DPRK-IT-Mitarbeiterzellen Zahlungen einsammeln, gefälschte Identitäten aufrechterhalten und Geld über Krypto- und Fiat-Systeme bewegen – mit Dokumentation, die sowohl das Ausmaß als auch die operativen Lücken zeigt, auf die diese Gruppen angewiesen sind, um aktiv zu bleiben.
