ZachXBT 揭露朝鲜 IT 工作者网络数据：显示 350 万美元加密货币资金流动

区块链调查员 ZachXBT 于 2026 年 4 月 8 日发布了一份对从朝鲜（DPRK）支付服务器中外泄的内部数据进行的详细分析，揭示了一套通过虚假身份、伪造的法律文件以及协同的加密货币到法币转换系统来处理约每月 $1,000,000 的方案。

该数据集包含 390 个账户、聊天记录以及 2025 年底至 2026 年初的交易记录，追踪到的钱包地址处理的金额超过 $3.5 million，并且与美国财政部外国资产控制办公室（OFAC）目前已制裁的三个实体有关联。

内部支付服务器数据揭示协同网络

一位不具名消息来源提供了从朝鲜（DPRK）IT 工作者使用的内部支付服务器中提取的数据。该数据集包括来自 IPMsg 的聊天记录、账户列表、浏览器历史记录以及交易记录。用户讨论了一个名为 luckyguys[.]site 的平台，该平台被描述为汇款枢纽，既充当消息工具，也充当报告渠道。工作者通过该平台提交收入并接收指示。

薄弱的安全性暴露了系统：多个账户使用默认密码 “123456” 且未作任何更改。用户记录中列出了韩国姓名、城市以及编码的群组标识符。三个实体——Sobaeksu、Saenal 和 Songkwang——出现在数据中，且目前正受 OFAC 制裁，将该网络与此前已识别的行动联系起来。

一名被识别为 PC-1234 的管理员账户确认了付款并分发账户凭据，这些凭据会在加密货币交易所与金融科技平台之间根据用户需求而有所不同。

交易模式显示稳定的 $3.5 million 流量

自 2025 年 11 月下旬以来，追踪的钱包地址已处理超过 $3.5 million。汇款模式保持一致：用户先从交易所或服务转入加密货币，然后通过中国银行账户或像 Payoneer 这样的平台注册并将其转换为法币。PC-1234 确认了到账并提供了账户凭据。

区块链追踪将多个付款地址与已知的 DPRK 集群关联起来。一个 Tron 付款地址在 2025 年 12 月被 Tether 冻结。ZachXBT 基于 2025 年 12 月至 2026 年 2 月期间从交易数据中抓取的信息，绘制了该网络的完整组织结构，包括按用户和群组统计的付款总额。

虚假身份、培训与协同

受损设备数据揭示了虚假身份、求职申请以及浏览器活动。工作者依赖诸如 Astrill VPN 之类的工具来隐藏所在位置。内部 Slack 讨论中提到了一个关于深度伪造求职申请者的博客文章。一张截图显示 33 名 DPRK IT 工作者通过 IPMsg 在同一网络中进行沟通。

一名工作者正与另一名 DPRK IT 工作者通过尼日利亚代理讨论从一个名为 Arcano（GalaChain 游戏）的项目中盗取资金，但目前尚不清楚该攻击是否最终落地。管理员发送了 43 个培训模块，内容涵盖逆向工程主题，包括 Hex‑Rays 和 IDA Pro，重点在于反汇编、调试和恶意软件分析，这表明该网络正在持续进行技术开发。

与其他 DPRK 威胁组织的对比

ZachXBT 指出，与 AppleJeus 和 TraderTraitor 等组织相比，该集群的 DPRK IT 工作者活动不够成熟，这些组织运作效率更高，并对行业构成最大的风险。他估计 DPRK IT 工作者每月产生多达数百万美元的收入，这些数据也支持了这一点。他还表示，威胁行为者没有针对低层级的 DPRK 组织而留下了一个机会，理由是报复风险较低且竞争非常有限。

FAQ

ZachXBT 揭露了关于朝鲜 IT 工作者哪些数据？

ZachXBT 发布了来自被攻破的 DPRK 支付服务器的内部数据，包括 390 个账户、聊天记录、交易记录以及虚假身份。该数据揭示了一套每月约 $1,000,000 的加密货币处理方案，追踪到的钱包自 2025 年底以来合计处理了超过 $3.5 million。

网络中识别出了哪些公司？

三个实体——Sobaeksu、Saenal 和 Songkwang——出现在数据中，且目前正受到美国财政部外国资产控制办公室（OFAC）的制裁，从而将该网络与先前已识别的 DPRK 行动联系起来。

数据中发现了哪些培训材料？

管理员发送了 43 个培训模块，涵盖使用 Hex‑Rays 和 IDA Pro 等工具进行逆向工程、反汇编、反编译、本地与远程调试以及恶意软件分析，这表明该网络正在持续进行技术开发。