ZachXBT publie des données de paiement nord-coréennes divulguées montrant un pipeline mensuel crypto-vers-fiat $1M

L’enquêteur blockchain ZachXBT a publié une série en 11 volets le 8 avril 2026, révélant des données exfiltrées depuis un serveur de paiement interne nord-coréen utilisé par des travailleurs IT de la RPDC, mettant en évidence plus de 3,5 millions de dollars de paiements traités depuis fin novembre 2025.

Points clés :

• L’enquête de ZachXBT du 8 avril a mis en évidence un serveur de paiement pour les travailleurs IT de la RPDC qui a traité plus de 3,5 millions de dollars depuis fin novembre 2025.
• Trois entités sanctionnées par l’OFAC, Sobaeksu, Saenal et Songkwang, sont apparues dans la liste d’utilisateurs compromise provenant de luckyguys.site.
• Le site interne nord-coréen est passé hors ligne le 9 avril 2026, mais ZachXBT a archivé toutes les données avant de publier la série en 11 volets.

Des pirates nord-coréens ont utilisé le mot de passe par défaut « 123456 » sur un serveur interne de paiement crypto

Les données divulguées provenaient de l’appareil d’un travailleur IT de la RPDC, compromis par un malware d’infostealer. Une source non identifiée a partagé les fichiers avec ZachXBT, qui a confirmé que le contenu n’avait jamais été publié publiquement. Les enregistrements extraits comprenaient environ 390 comptes, des journaux de discussion IPMsg, des identités fabriquées, l’historique du navigateur et des relevés de transactions de cryptomonnaies.

La plateforme interne au cœur de l’enquête était luckyguys.site, également désignée en interne comme WebMsg. Elle fonctionnait comme un messager de type Discord, permettant aux travailleurs IT de la RPDC de signaler des paiements à leurs correspondants. Au moins dix utilisateurs n’avaient jamais modifié le mot de passe par défaut, défini sur « 123456 ».

La liste d’utilisateurs contenait des rôles, des noms coréens, des villes et des noms de groupes codés cohérents avec des opérations connues de travailleurs IT de la RPDC. Trois sociétés figurant dans la liste, Sobaeksu, Saenal et Songkwang, sont actuellement sanctionnées par le Bureau du Contrôle des Actifs Étrangers (Office of Foreign Assets Control) du Trésor américain.

Les paiements ont été confirmés via un compte administrateur central identifié comme PC-1234. ZachXBT a partagé des exemples de messages directs provenant d’un utilisateur surnommé « Rascal », qui détaillait des transferts liés à des identités frauduleuses s’étendant de décembre 2025 à avril 2026. Certains messages faisaient référence à des adresses à Hong Kong pour les factures et les biens, bien que leur authenticité n’ait pas été vérifiée.

Les adresses de portefeuille de paiement associées ont reçu plus de 3,5 millions de dollars pendant cette période, soit environ $1 million par mois. Les travailleurs ont utilisé de faux documents juridiques et de fausses identités pour obtenir un emploi. La crypto était soit transférée directement depuis des exchanges, soit convertie en monnaie fiduciaire via des comptes bancaires chinois à l’aide de plateformes comme Payoneer. Le compte administrateur PC-1234 a ensuite confirmé la réception et distribué des identifiants pour diverses plateformes crypto et fintech.

L’analyse onchain a relié les adresses de paiement internes à des clusters connus de travailleurs IT de la RPDC. Deux adresses spécifiques ont été identifiées : une adresse Ethereum et une adresse Tron que Tether a gelée en décembre 2025.

ZachXBT a utilisé l’ensemble des données pour cartographier la structure organisationnelle complète du réseau, y compris les totaux de paiements par utilisateur et par groupe. Il a publié un organigramme interactif couvrant décembre 2025 à février 2026 sur investigation.io/dprk-itw-breach, accessible avec le mot de passe « 123456 ».

L’appareil compromis et les journaux de discussion ont produit des détails supplémentaires. Les travailleurs utilisaient un VPN Astrill et des personas fictifs pour postuler à des emplois. Des discussions internes sur Slack comprenaient un message d’un utilisateur nommé « Nami » partageant un blog sur un candidat au deepfake lié à un travailleur de la RPDC. L’administrateur a également envoyé 43 modules de formation Hex-Rays et IDA Pro aux travailleurs entre novembre 2025 et février 2026, couvrant le désassemblage, la décompilation et le débogage. Un lien partagé traitait spécifiquement du dépaquetage d’exécutables PE hostiles.

Trente-trois travailleurs IT de la RPDC ont été trouvés en train de communiquer via le même réseau IPMsg. Des entrées de journaux distinctes faisaient référence à des projets de vol depuis Arcano, un jeu GalaChain, en utilisant un proxy nigérian, bien que l’issue de cette tentative ne soit pas claire à partir des données.

ZachXBT a décrit ce groupe comme moins sophistiqué sur le plan opérationnel que des groupes nord-coréens de niveau supérieur tels qu’Applejeus ou Tradertraitor. Il avait précédemment estimé que les travailleurs IT de la RPDC génèrent collectivement plusieurs chiffres à sept positions par mois. Il a noté que des groupes de bas niveau comme celui-ci attirent des acteurs de la menace parce que le risque est faible et la concurrence est minimale.

Le domaine luckyguys.site est passé hors ligne le jeudi, le jour suivant la publication par ZachXBT de ses constats. Il a confirmé que l’ensemble des données avait été archivé avant la mise hors ligne du site.

L’enquête offre une vue directe sur la manière dont les cellules de travailleurs IT de la RPDC collectent des paiements, maintiennent de fausses identités et déplacent de l’argent via des systèmes de cryptomonnaies et de monnaie fiduciaire, avec une documentation montrant à la fois l’ampleur et les lacunes opérationnelles sur lesquelles ces groupes s’appuient pour rester actifs.