نشر المحقق في مجال البلوكشين ZachXBT سلسلة مكوّنة من 11 جزءًا في 8 أبريل 2026، كاشفًا عن بيانات تم تسريبها من خادم دفع داخلي في كوريا الشمالية كان يُستخدم من قبل عمال تكنولوجيا المعلومات التابعين لجمهورية كوريا الشعبية الديمقراطية، موضحًا أنه تمّت معالجة أكثر من 3.5 مليون دولار من المدفوعات منذ أواخر نوفمبر 2025.
أهم النقاط:
- كشف تحقيق ZachXBT في 8 أبريل عن خادم دفع لمُكلّف من عمال تكنولوجيا المعلومات في كوريا الشمالية قام بمعالجة أكثر من 3.5 مليون دولار منذ أواخر نوفمبر 2025.
- ظهرت ثلاث جهات مُدرجة على قائمة العقوبات لدى OFAC، وهي Sobaeksu و Saenal و Songkwang، في قائمة المستخدمين المخترَقة من luckyguys.site.
- توقفت المنصة الداخلية في كوريا الشمالية عن العمل في 9 أبريل 2026، لكن ZachXBT قام بأرشفة جميع البيانات قبل نشر سلسلة الأجزاء الـ11.
استخدم قراصنة كوريا الشمالية كلمة المرور الافتراضية ‘123456’ على خادم دفع تشفيري داخلي
جاءت البيانات المسربة من جهاز أحد عمال تكنولوجيا المعلومات في كوريا الشمالية، كان مُخترقًا بواسطة برمجية خبيثة لسرقة المعلومات (infostealer). شارك مصدر غير مُسمّى الملفات مع ZachXBT، الذي أكد أن المواد لم يتم نشرها علنًا من قبل. شملت السجلات المستخرجة نحو 390 حسابًا، وسجلات محادثات IPMsg، وهويات مُفبركة، وسجل التصفح، وسجلات معاملات العملات المشفرة.
كانت المنصة الداخلية في قلب التحقيق هي luckyguys.site، ويشار إليها داخليًا أيضًا باسم WebMsg. كانت تعمل كمراسل على نمط Discord، مما يتيح لعمال تكنولوجيا المعلومات في كوريا الشمالية الإبلاغ عن المدفوعات إلى مشرفيهم. كان لدى ما لا يقل عن عشرة مستخدمين كلمة المرور الافتراضية لم يتم تغييرها، وكانت مضبوطة على “123456.”
احتوت قائمة المستخدمين على أدوار وأسماء كورية ومدن وأسماء مجموعات مُشفّرة متوافقة مع عمليات معروفة لعمال تكنولوجيا المعلومات في كوريا الشمالية. الشركات الثلاث التي ظهرت في القائمة، Sobaeksu و Saenal و Songkwang، مُدرجة حاليًا على قوائم العقوبات من قبل مكتب مراقبة الأصول الأجنبية التابع لوزارة الخزانة الأمريكية (U.S. Treasury’s Office of Foreign Assets Control).
تم تأكيد المدفوعات عبر حساب إداري مركزي تم تحديده باسم PC-1234. شارك ZachXBT أمثلة رسائل مباشرة من مستخدم بلقب “Rascal”، والتي وصفت تحويلات مرتبطة بهويات احتيالية تمتد من ديسمبر 2025 حتى أبريل 2026. أشارت بعض الرسائل إلى عناوين في هونغ كونغ للفواتير والسلع، رغم عدم التحقق من أصالتها.
تلقت عناوين محافظ الدفع المرتبطة أكثر من 3.5 مليون دولار خلال تلك الفترة، وهو ما يعادل تقريبًا $1 مليون لكل شهر. استخدم العمال مستندات قانونية مزورة وهوياتًا مزيفة للحصول على وظائف. تم تحويل العملات المشفرة إما مباشرة من البورصات أو تحويلها إلى عملة ورقية عبر حسابات بنكية صينية باستخدام منصات مثل Payoneer. ثم أكد حساب المدير PC-1234 استلام الأموال ووزّع بيانات الاعتماد الخاصة بمنصات مختلفة للعملات المشفرة والتمويل التقني.
ربط تحليل السلسلة (Onchain) عناوين الدفع الداخلية بمجموعات معروفة من عمال تكنولوجيا المعلومات في كوريا الشمالية. تم تحديد عنوانين محددين: عنوان Ethereum وعنوان Tron الذي قامت Tether بتجميده في ديسمبر 2025.
استخدم ZachXBT مجموعة البيانات الكاملة لرسم البنية التنظيمية الكاملة للشبكة، بما في ذلك إجماليات المدفوعات لكل مستخدم ولكل مجموعة. نشر مخططًا تنظيميًا تفاعليًا يغطي ديسمبر 2025 حتى فبراير 2026 على investigation.io/dprk-itw-breach، ويمكن الوصول إليه باستخدام كلمة المرور “123456.”
أنتج الجهاز المُخترق وسجلات الدردشة تفاصيل إضافية. استخدم العمال Astrill VPN وشخصيات مزيفة للتقدم للوظائف. ضمت مناقشات Slack الداخلية منشورًا من مستخدم باسم “Nami” شارك فيه مدونة حول متقدم مزيف (deepfake) يعمل لعمال كوريا الشمالية في مجال تكنولوجيا المعلومات. كما أرسل المسؤول 43 وحدة تدريبية لـ Hex-Rays و IDA Pro إلى العمال بين نوفمبر 2025 وفبراير 2026، لتغطي التفكيك (disassembly) وإعادة الترجمة إلى كود أعلى (decompilation) وتصحيح الأخطاء (debugging). تناول رابط مشارك واحد على وجه الخصوص كيفية فك تغليف ملفات PE تنفيذية معادية.
عُثر على ثلاثة وثلاثين عاملًا في تكنولوجيا المعلومات من كوريا الشمالية وهم يتواصلون عبر شبكة IPMsg نفسها. أشارت إدخالات سجلات منفصلة إلى خطط للسرقة من Arcano، وهي لعبة من GalaChain، باستخدام وكيل (proxy) نيجيري، لكن لم يكن واضحًا من البيانات ما كانت نتيجة هذا الجهد.
وصف ZachXBT هذه المجموعة بأنها أقل تطورًا تشغيليًا من مجموعات كوريا الشمالية ذات المستوى الأعلى مثل Applejeus أو Tradertraitor. وقدّر سابقًا أن عمال تكنولوجيا المعلومات في كوريا الشمالية يولدون مجتمعين أرقامًا سباعية منسوبة إلى آلاف المرات على مستوى عدة ملايين شهريًا. وأشار إلى أن المجموعات منخفضة المستوى مثل هذه تجذب الجهات الفاعلة المهدِّدة لأن مستوى المخاطر منخفض والمنافسة محدودة.
تعطّل نطاق luckyguys.site يوم الخميس، في اليوم التالي لنشر ZachXBT نتائجه. أكد أن مجموعة البيانات الكاملة تم أرشفتها قبل إيقاف تشغيل الموقع.
يوفر التحقيق نظرة مباشرة على كيفية قيام خلايا عمال تكنولوجيا المعلومات في كوريا الشمالية بجمع المدفوعات، والحفاظ على هويات مزيفة، وتحريك الأموال عبر أنظمة العملات المشفرة والورقية، مع توثيق يُظهر كلًا من نطاق (حجم) الفعاليات والفجوات التشغيلية التي تعتمد عليها هذه المجموعات للبقاء في حالة نشاط.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
