Sa Loob ng North Korean Crypto Machine: Pinakabagong Imbestigasyon ni ZachXBT

Ang imbestigador ng blockchain na si ZachXBT ay naglathala ng isa sa kanyang pinakadetalyadong ulat hanggang ngayon, at ibinunyag nito kung paano sinasalisihan ng mga IT worker ng North Korea ang industriya ng crypto ng milyun-milyon bawat buwan.

Isang hindi pinangalanang source ang nagbigay kay ZachXBT ng data na na-exfiltrate mula sa isang internal na payment server ng North Korea. Ang dataset ay naglalaman ng 390 accounts, pribadong chat logs, at mga record ng transaksyon sa crypto mula Disyembre 2025 hanggang Abril 2026. Wala ni isa rito ang naisapubliko. Ang natuklasan ni ZachXBT sa loob ay isang ganap na gumaganang, organisadong scheme na bumubuo ng humigit-kumulang $1 milyon bawat buwan sa pamamagitan ng mga mapanlinlang na pagkakakilanlan, pekeng legal na dokumento, at isang matatag na network ng crypto-to-fiat conversion.

Sentro ng operasyon ang isang site na tinatawag na luckyguys[.]site — isang internal na platform ng remittance na ginagamit ng mga IT worker ng DPRK upang mag-ulat ng mga bayad sa kanilang mga handler. Isipin ito bilang isang pribadong messenger na partikular na binuo para sa pag-agos ng pera. Ang default na password ng platform ay 123456. Sampung user ang hindi pa nagpapalit nito. Kasama sa listahan ng user ang tunay na pangalang Koreano, lokasyon ng lungsod, mga naka-code na pangalan ng grupo, at itinalagang tungkulin. Tatlo sa mga kumpanyang lumabas sa data ay kasalukuyang pinapatawan ng parusa ng OFAC: Sobaeksu, Saenal, at Songkwang.

Mula noong huling bahagi ng Nobyembre 2025, mahigit $3.5 milyon ang dumaan sa mga address ng wallet ng pagbabayad na konektado sa network na ito. Ang pamamaraan ay pare-pareho sa lahat ng user. Makakatanggap ang mga worker ng crypto mula sa isang exchange o serbisyo, o iko-convert ang mga kinita sa fiat sa pamamagitan ng mga Chinese bank account gamit ang mga platform tulad ng Payoneer. Isang sentral na admin account na kinilala lamang bilang PC-1234 ang magkukumpirma ng resibo at magbibigay ng mga kredensyal para sa anumang exchange o fintech platform na ginagamit sa siklo na iyon. Isang Tron payment address ang na-freeze ng Tether noong Disyembre 2025 — na nangangahulugang may nakakaalam na na nangyayari ito. Hindi nito pinigilan ang network.

Isang worker, na tinukoy bilang "Jerry," ang nahuling nag-aaply para sa mga remote na trabaho sa ilalim ng pekeng persona habang nakakonekta sa pamamagitan ng Astrill VPN. Ipinakita ng mga internal na mensahe ang mga worker na nag-uusap tungkol sa isang artikulo ng balita tungkol sa isang IT worker ng DPRK na nahuling gumagamit ng deepfake technology sa isang job interview, kinakabahan na nagtataka kung ito ba ay isa sa kanila. Tatlumpu't tatlong worker ang natukoy na nagkakausap sa iisang network. Hindi ito isang maliit na isolated cell. Ito ay isang workforce, na may istraktura, disiplina, at isang napakalinaw na chain of command.

Sa pagitan ng Nobyembre 2025 at Pebrero 2026, ipinamahagi ng admin ng network ang 43 training module na nakatuon sa Hex-Rays at IDA Pro — mga propesyonal na tool na ginagamit para sa reverse engineering at binary analysis. Saklaw ng mga materyales ang disassembly, decompilation, debugging, at unpacking ng mga mapanganib na executable. Hindi ito ang mga tool ng isang basic na operasyon ng scam. Ito ang mga tool ng mga taong naghahanda na gumawa ng malubhang pinsala.

Maingat na binanggit ni ZachXBT na ang grupong ito ay mas mababa kaysa sa mas mapanganib na mga pangkat ng banta ng North Korea tulad ng AppleJeus at TraderTraitor, na responsable sa ilan sa pinakamalaking crypto heist na naitala. Mas mababa ang grupong ito sa hagdan. Ngunit ang mas mababa ay hindi nangangahulugang walang pinsala. Nauna nang tinatantya ni ZachXBT na ang mga IT worker ng DPRK ay kolektibong nakakabuo ng maraming pitong digit bawat buwan sa buong industriya, at sinusuportahan ng imbestigasyong ito ang bilang na iyon na may mga resibo. Nawala ang internal payment site sa sandaling naglathala si ZachXBT. Lahat ng data ay na-archive na.

Ang Tugon ng Industriya

Hindi tahimik na inilabas ang ulat ni ZachXBT. Dumating ito sa kalagitnaan ng isang linggo kung saan ang industriya ay nakikipagbuno na sa lawak ng presensya ng North Korea sa loob ng mga crypto team. Ilang araw bago ang ulat, inangkin ng security researcher ng MetaMask na si Taylor Monahan na mahigit 40 platform ng DeFi ang hindi sinasadyang nag-empleyo ng mga developer ng North Korea na sinusuportahan ng estado, ang ilan ay nagsimula pa noong DeFi summer ng 2020. "Maraming IT worker ng DPRK ang bumuo ng mga protocol na alam at gusto ninyo," isinulat niya sa X, idinagdag na marami sa mga worker na ito ay may tunay na karanasan sa blockchain, na nagpapahirap sa kanila na matukoy.

Si ZachXBT mismo, nang tanungin tungkol sa pagiging sopistikado ng mga taktikang ito, ay direkta. "Ang mga banta sa pamamagitan ng job postings, LinkedIn, email, Zoom, o mga interview ay basic at sa anumang paraan ay hindi sopistikado," aniya. "Ang tanging bagay tungkol dito ay sila ay walang humpay."

Ang reaksyon ng mas malawak na komunidad ay halo-halo. Marami ang tumukoy sa kapabayaan sa pagkuha ng empleyado sa mga team na nagiging depensiba kapag inalerto sa posibleng banta sa seguridad. Ang iba ay tumukoy sa mga numero: noong 2025, ang mga grupong konektado sa DPRK ay nagnakaw ng hindi bababa sa $2.02 bilyon sa cryptocurrency — 60% ng pandaigdigang pagnanakaw sa taong iyon — kabilang ang isang $1.5 bilyong Bybit hack. Ang pinakabagong imbestigasyong ito ay hindi isang isolated na insidente. Ito ay isang nakikitang bahagi ng isang mas malaking operasyon.

Ang ipinapaliwanag ng imbestigasyong ito ay ang operasyon ng crypto ng North Korea ay hindi isang koleksyon ng mga rogue freelancer. Ito ay isang structured, hierarchical na enterprise na may mga handler, admin, sinanay na worker, at isang imprastraktura ng pagbabayad na tumatakbo nang buwan-buwan nang walang pagkaantala. Para sa anumang crypto project, exchange, o DAO na kumukuha ng mga remote contributor, hindi ito isang malalayong problema. Ang mga worker na ito ay nag-aaply para sa mga trabaho ngayon, na may mga pinakintab na portfolio at mga mukha na maaaring hindi sa kanila. Ang verification ay hindi pa kailanman naging mas mahalaga.

Ang blockchain ay transparent. Umasa ang mga network na ito na hindi magbibigay-pansin ang industriya.