- کارگران فناوری اطلاعات کره شمالی یک شبکه کلاهبرداری کریپتو به ارزش 1 میلیون دلار در ماه با خطوط لوله ساختاریافته اداره میکردند.
- رمزهای عبور ضعیف و شرکتهای فهرستشده در OFAC آسیبپذیریهای عملیاتی عمدهای را افشا کردند.
- گزارشهای آموزشی مهندسی معکوس سازمانیافته و کلاهبرداری هویت برای کسب درآمد را نشان میدهند.
یک تحقیق اخیر توسط تحلیلگر بلاک چین ZachXBT یک نقض داخلی در مقیاس بزرگ مرتبط با کارگران فناوری اطلاعات کره شمالی را کشف کرد. دادههای افشاشده یک شبکه متشکل از 390 حساب کاربری، گزارشهای چت و معاملات کریپتو را آشکار کرد.
علاوه بر این، یافتهها یک سیستم هماهنگ را نشان میدهند که حدود 1 میلیون دلار در ماه را از طریق هویتهای جعلی و فریب مالی پردازش میکرد. در نتیجه، این نقض دید نادری از نحوه عملکرد این عملیاتها در پشت صحنه ارائه میدهد.
ZachXBT گزارش داد که یک منبع ناشناس پس از به خطر انداختن دستگاهی مرتبط با یک کارگر فناوری اطلاعات کره شمالی، دادهها را ارائه کرد. آلودگی ناشی از یک سارق اطلاعات بود که گزارشهای چت IPMsg، تاریخچه مرورگر و سوابق هویت را استخراج کرد.
علاوه بر این، گزارشها یک پلتفرم به نام luckyguys[.]site را نشان دادند که به عنوان یک مرکز ارتباطی داخلی عمل میکرد. این سیستم مانند یک سرویس پیامرسانی خصوصی برای گزارش پرداختها و هماهنگی فعالیتها عمل میکرد.
زیرساخت پرداخت و جریان عملیاتی
دادهها یک خط لوله پرداخت ساختاریافته را نشان میدهند که جریانهای کریپتو را به تبدیل فیات متصل میکند. کاربران وجوه را از صرافیها منتقل کردند یا داراییها را از طریق حسابهای بانکی چینی و پلتفرمهای فینتک مانند Payoneer تبدیل کردند. از این رو، شبکه نقدینگی پایداری را در کانالهای متعدد حفظ کرد.
به طور قابل توجهی، سرور داخلی از یک رمز عبور پیشفرض ضعیف، 123456، در چندین حساب استفاده کرد. این غفلت شکافهای امنیتی جدی در سیستم را آشکار کرد.
پلتفرم شامل نقشهای کاربری، نامهای کرهای و دادههای مکانی بود که با ساختارهای شناختهشده کارگران فناوری اطلاعات کره شمالی همسو بود. علاوه بر این، سه شرکت مرتبط با شبکه در فهرست تحریمهای OFAC ظاهر شدند، از جمله Sobaeksu، Saenal و Songkwang.
ZachXBT بیش از 3.5 میلیون دلار معامله را شناسایی کرد که از اواخر نوامبر 2025 به آدرسهای کیف پول مرتبط جریان یافته است. الگوی ثابت شامل تأیید متمرکز توسط یک حساب مدیر با برچسب PC-1234 بود. این حساب پرداختها را تأیید کرد و اعتبارنامهها را برای صرافیها و پلتفرمهای فینتک توزیع کرد.
علاوه بر این، یک کیف پول Tron مرتبط با عملیات در دسامبر 2025 توسط Tether با مسدودسازی مواجه شد. این اقدام فشار اجرایی فزاینده بر فعالیتهای غیرقانونی کریپتو مرتبط با گروههای دولتی را برجسته کرد.
عمق عملیاتی و فعالیتهای آموزشی
نقض همچنین بحثها و مواد آموزشی داخلی را افشا کرد. یک کانال داخلی Slack نشان داد که 33 کارگر فناوری اطلاعات کره شمالی به طور همزمان از طریق IPMsg ارتباط برقرار میکنند. علاوه بر این، مدیران 43 ماژول آموزشی را در مورد ابزارهایی مانند IDA Pro و Hex-Rays توزیع کردند.
این مواد مهندسی معکوس، اشکالزدایی و تکنیکهای بهرهبرداری از نرمافزار را پوشش میدادند. در نتیجه، گروه آموزش ساختاریافتهای را با وجود پیچیدگی محدود در مقایسه با گروههای پیشرفته مانند AppleJeus یا TraderTraitor نشان داد. با این حال، مقیاس عملیات همچنان جریانهای درآمدی قابل توجهی ایجاد کرد.
گزارشهای افشاشده همچنین به تلاشها برای استفاده از هویتهای جعلی و برنامههای دیپفیک برای نفوذ شغلی اشاره کردند. علاوه بر این، برخی از مکالمات هدف قرار دادن پلتفرمهای بازی و خدمات مالی را پوشش میدادند.
مرتبط: SBI Ripple Asia پلتفرم صدور توکن خود را بر روی XRP Ledger (XRPL) تکمیل کرده است
سلب مسئولیت: اطلاعات ارائه شده در این مقاله تنها برای اهداف اطلاعاتی و آموزشی است. این مقاله مشاوره مالی یا مشاوره از هر نوع دیگری را تشکیل نمیدهد. Coin Edition مسئولیتی در قبال هرگونه ضرر و زیان ناشی از استفاده از محتوا، محصولات یا خدمات ذکرشده ندارد. به خوانندگان توصیه میشود قبل از انجام هرگونه اقدام مرتبط با شرکت احتیاط کنند.
منبع: https://coinedition.com/dprk-it-network-breach-exposes-1m-month-fraud-scheme/
