ZachXBT révèle les données d’un réseau de travailleurs informatiques nord-coréens, mettant en évidence un flux de crypto de 3,5 millions de dollars

Le chercheur en cybersécurité ZachXBT a publié le 8 avril 2026 une analyse détaillée des données internes exfiltrées depuis un serveur de paiement nord-coréen, révélant un stratagème traitant environ $1 million par mois en cryptomonnaies via de fausses identités, des documents juridiques falsifiés et des systèmes coordonnés de conversion crypto‑en‑fiat.

L’ensemble de données comprend 390 comptes, des journaux de discussion et des relevés de transactions allant de la fin 2025 au début 2026, avec des adresses de portefeuilles suivies traitant plus de $3,5 millions, et des liens vers trois entités actuellement sanctionnées par le U.S. Office of Foreign Assets Control (OFAC).

Les données du serveur de paiement interne révèlent un réseau coordonné

Une source non identifiée a fourni des données extraites d’un serveur de paiement interne utilisé par des travailleurs informatiques nord‑coréens (DPRK). L’ensemble de données inclut des journaux de discussion provenant d’IPMsg, des listes de comptes, des historiques de navigateurs et des relevés de transactions. Les utilisateurs discutaient d’une plateforme appelée luckyguys[.]site, décrite comme un hub de transferts de fonds qui fonctionnait à la fois comme outil de messagerie et comme canal de signalement. Les travailleurs soumettaient leurs gains et recevaient des instructions via cette plateforme.

Une sécurité faible a mis le système à nu : plusieurs comptes utilisaient le mot de passe par défaut « 123456 » sans modifications. Les dossiers des utilisateurs indiquaient des noms coréens, des villes et des identifiants de groupe codés. Trois entités — Sobaeksu, Saenal et Songkwang — apparaissaient dans les données et sont actuellement sous sanctions de l’OFAC, reliant le réseau à des opérations précédemment identifiées.

Un compte administratif identifié comme PC-1234 a confirmé les paiements et distribué des identifiants de compte, qui variaient entre les bourses de cryptomonnaies et les plateformes fintech selon les besoins des utilisateurs.

Les schémas de transactions montrent un flux constant de $3,5 millions

Depuis la fin novembre 2025, les adresses de portefeuilles suivies ont traité plus de $3,5 millions. Le schéma de transferts était cohérent : les utilisateurs transféraient de la crypto depuis des bourses ou des services, puis la convertissaient en fiat via des comptes bancaires chinois ou des plateformes comme Payoneer. PC-1234 a confirmé la réception et fourni des identifiants de compte.

La traçabilité blockchain a relié plusieurs adresses de paiement à des clusters DPRK connus. Une adresse de paiement Tron a été gelée par Tether en décembre 2025. ZachXBT a cartographié la structure organisationnelle complète du réseau, y compris les totaux de paiement par utilisateur et par groupe, à partir de données de transactions récupérées entre décembre 2025 et février 2026.

Fausses identités, formation et coordination

Les données d’un appareil compromis ont révélé de fausses personnalités, des candidatures à des postes et une activité de navigation. Les travailleurs s’appuyaient sur des outils comme Astrill VPN pour masquer leurs lieux. Des discussions internes sur Slack faisaient référence à un billet de blog à propos d’un candidat à un emploi deepfake. Une capture d’écran montrait 33 travailleurs informatiques DPRK communiquant sur le même réseau via IPMsg.

Un travailleur a discuté activement de vol dans le cadre d’un projet appelé Arcano (un jeu GalaChain) avec un autre travailleur informatique DPRK via un proxy nigérian, bien qu’il reste incertain si l’attaque s’est concrétisée. L’administrateur a envoyé 43 modules de formation couvrant des sujets de rétro‑ingénierie, notamment Hex‑Rays et IDA Pro, en se concentrant sur le désassemblage, le débogage et l’analyse de logiciels malveillants, indiquant un développement technique en cours au sein du réseau.

Comparaison avec d’autres groupes de menaces DPRK

ZachXBT a noté que ce cluster d’activités de travailleurs informatiques DPRK est moins sophistiqué que des groupes comme AppleJeus et TraderTraitor, qui opèrent avec bien plus d’efficacité et présentent les plus grands risques pour l’industrie. Il a estimé que les travailleurs informatiques DPRK génèrent plusieurs chiffres à sept positions par mois en revenus, et les données soutiennent cela. Il a également suggéré que les acteurs de la menace laissent une opportunité en ne ciblant pas des groupes DPRK de faible niveau, en citant le faible risque de représailles et une concurrence minimale.

FAQ

Quelles données ZachXBT a-t-il exposées au sujet des travailleurs informatiques nord-coréens ?

ZachXBT a publié des données internes provenant d’un serveur de paiement DPRK compromis, y compris 390 comptes, des journaux de discussion, des relevés de transactions et de fausses identités. Les données ont révélé un stratagème traitant environ $1 million par mois en cryptomonnaies, avec des portefeuilles suivis gérant plus de $3,5 millions depuis la fin 2025.

Quelles entreprises ont été identifiées comme faisant partie du réseau ?

Trois entités — Sobaeksu, Saenal et Songkwang — apparaissaient dans les données et sont actuellement sanctionnées par le U.S. Office of Foreign Assets Control (OFAC), reliant le réseau à des opérations DPRK précédemment identifiées.

Quels supports de formation ont été trouvés dans les données ?

L’administrateur a envoyé 43 modules de formation couvrant la rétro‑ingénierie, le désassemblage, la décompilation, le débogage local et distant, et l’analyse de logiciels malveillants à l’aide d’outils comme Hex‑Rays et IDA Pro, indiquant un développement technique en cours au sein du réseau.