- Nhân viên IT của DPRK điều hành mạng lưới gian lận tiền điện tử trị giá 1 triệu USD/tháng với quy trình có cấu trúc.
- Mật khẩu yếu và các công ty nằm trong danh sách OFAC để lộ các lỗ hổng hoạt động lớn.
- Nhật ký đào tạo tiết lộ hoạt động đảo ngược kỹ thuật có tổ chức và gian lận danh tính để tạo doanh thu.
Một cuộc điều tra gần đây của nhà phân tích blockchain ZachXBT đã phát hiện một vụ vi phạm nội bộ quy mô lớn liên quan đến các nhân viên IT Triều Tiên. Dữ liệu bị rò rỉ đã phơi bày một mạng lưới gồm 390 tài khoản, nhật ký trò chuyện và các giao dịch tiền điện tử.
Bên cạnh đó, các phát hiện tiết lộ một hệ thống phối hợp đã xử lý khoảng 1 triệu USD mỗi tháng thông qua danh tính giả mạo và lừa đảo tài chính. Do đó, vụ vi phạm này cung cấp cái nhìn hiếm có về cách các hoạt động này hoạt động đằng sau hậu trường.
ZachXBT báo cáo rằng một nguồn tin không tiết lộ danh tính đã cung cấp dữ liệu sau khi xâm nhập một thiết bị liên kết với nhân viên IT DPRK. Sự nhiễm bệnh bắt nguồn từ một phần mềm đánh cắp thông tin, đã trích xuất nhật ký trò chuyện IPMsg, lịch sử trình duyệt và hồ sơ danh tính.
Ngoài ra, các nhật ký đã tiết lộ một nền tảng có tên luckyguys[.]site, hoạt động như một trung tâm giao tiếp nội bộ. Hệ thống này hoạt động giống như dịch vụ nhắn tin riêng tư để báo cáo thanh toán và phối hợp hoạt động.
Cơ sở hạ tầng thanh toán và quy trình hoạt động
Dữ liệu cho thấy một quy trình thanh toán có cấu trúc kết nối dòng tiền điện tử với việc chuyển đổi tiền pháp định. Người dùng chuyển tiền từ các sàn giao dịch hoặc chuyển đổi tài sản thông qua tài khoản ngân hàng Trung Quốc và các nền tảng fintech như Payoneer. Do đó, mạng lưới duy trì thanh khoản ổn định trên nhiều kênh.
Đáng chú ý, máy chủ nội bộ đã sử dụng mật khẩu mặc định yếu, 123456, trên nhiều tài khoản. Sự sơ suất này đã để lộ các lỗ hổng bảo mật nghiêm trọng trong hệ thống.
Nền tảng bao gồm vai trò người dùng, tên Hàn Quốc và dữ liệu vị trí, phù hợp với các cấu trúc nhân viên IT DPRK đã biết. Hơn nữa, ba công ty liên kết với mạng lưới xuất hiện trong danh sách trừng phạt OFAC, bao gồm Sobaeksu, Saenal và Songkwang.
ZachXBT đã xác định hơn 3,5 triệu USD trong các giao dịch chảy vào các địa chỉ ví liên quan kể từ cuối tháng 11 năm 2025. Mô hình nhất quán liên quan đến việc xác nhận tập trung bởi một tài khoản quản trị được gắn nhãn PC-1234. Tài khoản này xác thực thanh toán và phân phối thông tin xác thực cho các sàn giao dịch và nền tảng fintech.
Ngoài ra, một ví Tron liên kết với hoạt động đã bị đóng băng bởi Tether vào tháng 12 năm 2025. Hành động này làm nổi bật áp lực thực thi ngày càng tăng đối với hoạt động tiền điện tử bất hợp pháp liên quan đến các nhóm được nhà nước hậu thuẫn.
Độ sâu hoạt động và các hoạt động đào tạo
Vụ vi phạm cũng phơi bày các cuộc thảo luận nội bộ và tài liệu đào tạo. Một kênh Slack nội bộ cho thấy 33 nhân viên IT DPRK giao tiếp đồng thời thông qua IPMsg. Hơn nữa, quản trị viên đã phân phối 43 mô-đun đào tạo về các công cụ như IDA Pro và Hex-Rays.
Các tài liệu này bao gồm kỹ thuật đảo ngược, gỡ lỗi và khai thác phần mềm. Do đó, nhóm đã thể hiện đào tạo có cấu trúc mặc dù độ phức tạp hạn chế so với các nhóm tiên tiến như AppleJeus hoặc TraderTraitor. Tuy nhiên, quy mô hoạt động vẫn tạo ra các luồng doanh thu đáng kể.
Các nhật ký bị rò rỉ cũng đề cập đến nỗ lực sử dụng danh tính giả mạo và ứng dụng deepfake để thâm nhập công việc. Ngoài ra, một số cuộc trò chuyện đề cập đến việc nhắm mục tiêu vào các nền tảng trò chơi và dịch vụ tài chính.
Liên quan: SBI Ripple Asia đã hoàn thành nền tảng phát hành Token trên XRP Ledger (XRPL)
Tuyên bố miễn trừ trách nhiệm: Thông tin được trình bày trong bài viết này chỉ nhằm mục đích thông tin và giáo dục. Bài viết không cấu thành tư vấn tài chính hoặc tư vấn dưới bất kỳ hình thức nào. Coin Edition không chịu trách nhiệm về bất kỳ tổn thất nào phát sinh do sử dụng nội dung, sản phẩm hoặc dịch vụ được đề cập. Độc giả nên thận trọng trước khi thực hiện bất kỳ hành động nào liên quan đến công ty.
Nguồn: https://coinedition.com/dprk-it-network-breach-exposes-1m-month-fraud-scheme/
