Хакер скомпрометировал устройство одного из IT-шпионов КНДР и получил доступ к внутренним документам целого подразделения. Собранные материалы блокчейн-детектив ZachXBT опубликовал в среду в X. Они раскрыли операцию с 140 участниками, которая принесла $3,5 млн менее чем за четыре месяца.
Рейтинговая доска и пароль "123456"
Один из лидеров, известный как "Jerry", организовывал работу через сайт luckyguys.site. Внутренний сервер вел рейтинг: сколько криптовалюты каждый участник принес организации с 8 декабря. К каждой записи прилагались ссылки на blockchain-explorer с транзакционными хешами.
Для подачи заявок на работу использовался Astrill VPN и Gmail. Участники группы регистрировались на Indeed как full-stack разработчики и software engineer. Полученные выплаты проходили через Payoneer и переводились на китайские банковские счета.
Кошельки, санкции и Tether
Часть кошельков, через которые проходили выплаты, пересекается с адресами, заблокированными Tether в декабре 2025 года. ZachXBT отметил, что ряд участников luckyguys.site связан с компаниями Sobaeksu, Saenal и Songkwang - все три находятся под санкциями американского OFAC.
Общая сумма с ноября 2025 по момент взлома составила $3,5 млн. Темп около $1 млн в месяц сохранялся все это время.
КНДР и крипта: $7 млрд с 2009 года
Северная Корея ворует криптовалюту с 2009 года. Совокупный объем похищенного оценивается более чем в $7 млрд. Среди крупнейших атак - взлом Bybit на $1,4 млрд и взлом Ronin Bridge на $625 млн. Хакеры КНДР получили подозрение и в деле Drift Protocol - $280 млн в апреле 2026 года.
IT-мошенничество тише прямых взломов. Но стабильнее. Фиктивному программисту не нужна сложная атакующая инфраструктура. Нужно убедительное резюме и VPN.
Что открыл взлом сервера
Скомпрометированный сервер раскрыл имена участников, суммы на каждом счете и транзакционные хеши. Эти данные могут служить доказательной базой для OFAC и compliance-отделов в криптокомпаниях.
Для платформ, нанимающих фрилансеров, вывод прямой: стандартного KYC на уровне email и резюме уже недостаточно. Группировки КНДР адаптируются, и IT-фронт становится для них не менее прибыльным, чем крупные взломы.
Комментарии
Ваш e-mail адрес не будет опубликован. Обязательные поля отмечены *