鏈上偵探 ZachXBT 揭露一批入侵北韓 IT 工作者裝置取得的內部洩露資料,清單顯示代號「Jerry」領導的 140 人偽裝工程師團隊,自 2025 年 11 月底累計詐得逾 350 萬美元加密貨幣。然而 ZachXBT 指出,這群人的手法其實相當「粗糙」,真正讓業界膽寒的,是 AppleJeus 和 TraderTraitor 這類北韓菁英組織。
(前情提要:北韓駭客遭反殺!ZachXBT 扒出內部支付伺服器資料:假工程師月賺百萬鎂、密碼竟是 123456)
(背景補充:安全公司:北韓駭客已滲透 15~20% 加密貨幣企業)
一封未寄出的求職信,戳破了這整套精心包裝的偽裝。信中,北韓 IT 工作者「Jerry」用 Astrill VPN 掩蓋真實 IP,在 Indeed 投遞德州一家 T 恤公司的 WordPress/SEO 專員職缺,時薪 $30 美元、每週 15 至 20 小時。就是這封信,讓一名駭客在入侵 Jerry 裝置後,順手扒出了整個 140 人詐騙團隊的家底。
根據 ZachXBT 在 X 發布的調查報告,內容完整得令人咋舌:內部排行榜、協作平台、區塊鏈錢包地址,乃至成員的假護照照片,一應俱全。
排行榜、共用密碼,像一間科技新創的「業績看板」
Jerry 的團隊在一個名為 luckyguys.site 的網站上統一協調,共用密碼是「123456」。網站內建排行榜,追蹤每位成員自 2024 年 12 月 8 日以來的加密貨幣收入,並附上區塊鏈瀏覽器連結,供管理層隨時核查。
ZachXBT 指出,整個團隊自 2025 年 11 月底啟動至今,累計入帳約 350 萬美元加密貨幣,月均約 100 萬美元,規模不算小,手法卻粗糙。
成員中,部分人員為 OFAC 制裁實體效力,包括 Sobaeksu、Saenal 和 Songkwang,這三個名稱均出現在美國財政部的制裁名單上。
洗錢路徑:加密貨幣 → Payoneer → 中國銀行帳戶
資金流向同樣清晰可追。ZachXBT 在報告中描述,這批人將加密貨幣轉至 Payoneer 等跨境支付平台,再落地至中國銀行帳戶,最終兌換為法幣。
更關鍵的是,涉案錢包地址與 Tether 在 2024 年 12 月列入黑名單的已知北韓錢包存在關聯,資金路徑等同在鏈上留下指紋。
為掩蓋身份,團隊成員採用多層假身份。以代號「Rascal」的成員為例,其裝置中存有偽造的香港帳單地址,以及愛爾蘭護照照片,用於申請遠端工作職位。
ZachXBT:這群人「不夠老練」,更危險的在後面
弔詭的是,ZachXBT 在揭露這批資料後,給出了一個反直覺的評語。他認為,Jerry 團隊的操作水準,遠不如 AppleJeus 和 TraderTraitor 這兩個北韓菁英駭客組織——「後者運作效率更高,對加密貨幣產業構成最大風險」。
換句話說,這 140 人不過是北韓網路犯罪食物鏈的中下層,密碼 123456、求職信露餡、資金路徑留跡,每一個細節都在說明這群人並非頂尖。
真正令資安研究者憂心的,是那些「不會犯這種低階錯誤」的組織。
北韓網路竊盜:自 2009 年累計逾 70 億美元
這份洩露資料曝光的時間點,正值北韓網路攻擊進入高密度階段。據統計,自 2009 年以來,北韓駭客累計竊取加密貨幣逾 70 億美元。
近期大案接連不斷:2025 年 2 月,Bybit 遭竊 14 億美元,創史上最大單次加密貨幣盜竊紀錄;Ronin Network 被盜 6.25 億美元;今年 4 月 1 日,Drift Protocol 也傳出損失 2.8 億美元,疑與北韓有關。
安全研究者警告,北韓 IT 工作者已滲透全球 15 至 20% 的加密貨幣企業,部分甚至以正職身份在公司內部潛伏數月,逐步取得系統許可權。這次 Jerry 團隊的曝光,或許只是冰山一角。
📍相關報導📍
ZachXBT全文:反駭北韓駭客裝置後,我明白了他們的「工作」模式
Google Cloud警告:北韓IT間諜攻擊擴大,全球企業應警惕
Bybit內部出包?北韓駭客Lazarus疑似入侵交易所員工電腦
