Penyelidik blockchain ZachXBT memublikasikan pada 8 April 2026 sebuah analisis mendetail tentang data internal yang dieksfiltrasi dari sebuah server pembayaran Korea Utara, mengungkap sebuah skema yang memproses sekitar $1 juta per bulan dalam mata uang kripto melalui identitas palsu, dokumen hukum palsu, dan sistem konversi kripto-ke-fiat yang terkoordinasi.
Kumpulan data ini mencakup 390 akun, log obrolan, dan catatan transaksi dari akhir 2025 hingga awal 2026, dengan alamat dompet yang dilacak memproses lebih dari $3.5 juta, serta tautan ke tiga entitas yang saat ini dikenai sanksi oleh U.S. Office of Foreign Assets Control (OFAC).
Data Server Pembayaran Internal Mengungkap Jaringan yang Terkoordinasi
Sumber tak bernama menyediakan data yang diekstrak dari server pembayaran internal yang digunakan oleh pekerja TI Korea Utara (DPRK). Kumpulan data ini mencakup log obrolan dari IPMsg, daftar akun, riwayat peramban, dan catatan transaksi. Pengguna mendiskusikan sebuah platform bernama luckyguys[.]site, yang digambarkan sebagai hub remitansi yang berfungsi sebagai alat pesan sekaligus saluran pelaporan. Para pekerja mengirimkan penghasilan dan menerima instruksi melalui platform ini.
Keamanan yang lemah mengekspos sistem: beberapa akun menggunakan kata sandi bawaan “123456” tanpa perubahan. Catatan pengguna mencantumkan nama Korea, kota, dan pengenal grup berkode. Tiga entitas—Sobaeksu, Saenal, dan Songkwang—muncul dalam data dan saat ini berada di bawah sanksi OFAC, menghubungkan jaringan tersebut dengan operasi yang sebelumnya telah diidentifikasi.
Sebuah akun administratif yang diidentifikasi sebagai PC-1234 mengonfirmasi pembayaran dan mendistribusikan kredensial akun, yang bervariasi antara bursa kripto dan platform fintech tergantung kebutuhan pengguna.
Pola Transaksi Menunjukkan Aliran Konsisten $3.5 Juta
Sejak akhir November 2025, alamat dompet yang dilacak telah memproses lebih dari $3.5 juta. Pola remitansinya konsisten: pengguna mentransfer kripto dari bursa atau layanan, lalu mengonversinya menjadi fiat melalui akun bank Tiongkok atau platform seperti Payoneer. PC-1234 mengonfirmasi penerimaan dan memberikan kredensial akun.
Pelacakan blockchain mengaitkan beberapa alamat pembayaran dengan klaster DPRK yang sudah dikenal. Salah satu alamat pembayaran Tron dibekukan oleh Tether pada Desember 2025. ZachXBT memetakan struktur organisasi lengkap dari jaringan tersebut, termasuk total pembayaran per pengguna dan per grup, berdasarkan data transaksi yang dicakup dari Desember 2025 hingga Februari 2026.
Identitas Palsu, Pelatihan, dan Koordinasi
Data perangkat yang dikompromikan mengungkap persona palsu, lamaran pekerjaan, dan aktivitas peramban. Para pekerja mengandalkan alat seperti Astrill VPN untuk menyamarkan lokasi. Diskusi internal Slack menyinggung sebuah posting blog tentang pelamar kerja deepfake. Satu tangkapan layar menunjukkan 33 pekerja TI DPRK yang berkomunikasi pada jaringan yang sama melalui IPMsg.
Seorang pekerja secara aktif membahas mencuri dari sebuah proyek bernama Arcano (sebuah game GalaChain) dengan pekerja TI DPRK lainnya melalui proksi Nigeria, meskipun masih belum jelas apakah serangan tersebut benar-benar terjadi. Admin mengirim 43 modul pelatihan yang mencakup topik reverse engineering, termasuk Hex‑Rays dan IDA Pro, dengan fokus pada disassembly, debugging, dan analisis malware, yang menunjukkan adanya pengembangan teknis yang berkelanjutan di dalam jaringan tersebut.
Perbandingan dengan Kelompok Ancaman DPRK Lainnya
ZachXBT mencatat bahwa klaster aktivitas pekerja TI DPRK ini kurang canggih dibandingkan kelompok seperti AppleJeus dan TraderTraitor, yang beroperasi jauh lebih efisien dan menimbulkan risiko terbesar bagi industri. Ia memperkirakan pekerja TI DPRK menghasilkan beberapa angka tujuh digit per bulan dalam pendapatan, dan data mendukung itu. Ia juga menyarankan bahwa aktor ancaman sedang meninggalkan peluang dengan tidak menargetkan kelompok DPRK tingkat rendah, dengan alasan risiko rendah akan konsekuensi dan persaingan yang minimal.
FAQ
Data apa yang ZachXBT ungkap tentang pekerja TI Korea Utara?
ZachXBT memublikasikan data internal dari server pembayaran DPRK yang berhasil dikompromikan, termasuk 390 akun, log obrolan, catatan transaksi, dan identitas palsu. Data tersebut mengungkap sebuah skema yang memproses sekitar $1 juta per bulan dalam mata uang kripto, dengan dompet yang dilacak menangani lebih dari $3.5 juta sejak akhir 2025.
Perusahaan mana yang diidentifikasi sebagai bagian dari jaringan?
Tiga entitas—Sobaeksu, Saenal, dan Songkwang—muncul dalam data dan saat ini dikenai sanksi oleh U.S. Office of Foreign Assets Control (OFAC), yang menghubungkan jaringan tersebut dengan operasi DPRK yang sebelumnya telah diidentifikasi.
Materi pelatihan apa yang ditemukan dalam data?
Admin mengirim 43 modul pelatihan yang mencakup reverse engineering, disassembly, dekompilasi, debugging lokal dan jarak jauh, serta analisis malware menggunakan alat seperti Hex‑Rays dan IDA Pro, yang menunjukkan adanya pengembangan teknis yang berkelanjutan di dalam jaringan tersebut.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
