據知名鏈上偵探 ZachXBT 於 X 平台發布的最新調查報告,一份來自北韓內部支付伺服器的外洩資料,揭露了北韓假 IT 工作者每月賺取約 100 萬美元的龐大詐騙體系。該網路不僅大量使用假身分與 Deepfake 技術應徵,還透過加密貨幣與法幣管道進行洗錢。
(前情提要:如何一秒分辨北韓駭客?面試官要求「大罵金正恩」,假日本工程師嚇到秒破功)
(背景補充:Elliptic 報告:Drift Protocol「2.8 億鎂竊案」真兇疑似北韓駭客!跨鏈洗錢手法太專業)
加密貨幣產業的「北韓假工程師」滲透危機,再度被掀出驚人內幕!知名鏈上調查員 ZachXBT 今(8)日發布了一系列重磅推文,詳細披露了他從一份「從未公開的北韓內部支付伺服器外洩資料」中,梳理出的龐大黑產網路。
1/ Recently an unnamed source shared data exfiltrated from an internal North Korean payment server containing 390 accounts, chat logs, crypto transactions.
I spent long hours going through all of it, none of which has ever been publicly released.
It revealed an intricate… pic.twitter.com/aTybOrwMHq
— ZachXBT (@zachxbt) April 8, 2026
駭客遭反殺!內部伺服器預設密碼竟是「123456」
這起外洩事件的起因極具戲劇性。據 ZachXBT 透露,一名北韓 IT 工作者的裝置意外感染了資訊竊取惡意軟體(Infostealer),導致其 IPMsg 聊天紀錄、假身分資料與瀏覽紀錄全數曝光。
調查發現,這些北韓 IT 員工使用一個名為 `luckyguys[.]site` 的內部支付匯款平台向上線回報帳務。令人啼笑皆非的是,這個經手百萬美元的系統,預設密碼竟然是極其脆弱的「123456」,且名單中有 10 名使用者從未更改過密碼。該使用者清單中更赫然出現了已被美國財政部海外資產控制辦公室(OFAC)制裁的三家實體:Sobaeksu、Saenal 與 Songkwang。
月賺百萬美元!揭密北韓 IT 大軍洗錢產業鏈
ZachXBT 透過分析管理員「PC-1234」與旗下員工的對話紀錄,還原了這個詐騙網路的運作模式。自 2025 年 11 月底以來,該網路的支付錢包地址已累積接收超過 350 萬美元的資金,平均每月進帳約 100 萬美元。
這些假工程師的洗錢路徑相當一致:他們先將賺取或竊得的加密貨幣轉出交易所,隨後透過中國的銀行帳戶或 Payoneer 等金融科技平台轉換為法定貨幣。經過 PC-1234 確認後,再進行內部記帳。ZachXBT 甚至比對了鏈上數據,發現其中一個 Tron 網路的支付地址,已在 2025 年 12 月遭到穩定幣發行商 Tether 凍結。
Deepfake 面試、策劃駭入鏈遊,日常對話全曝光
外洩的內部群組紀錄也真實呈現了這些北韓駭客的工作日常。一名代號「Jerry」的員工被發現使用 Astrill VPN 搭配各種假身分瘋狂投遞履歷。在 Slack 聊天中,甚至有員工分享了一篇關於「北韓 IT 人員使用 Deepfake 申請工作」的資安警告文章,群組內還有人開玩笑反問「這是不是你?」。
此外,紀錄中也發現 Jerry 曾討論利用奈及利亞代理人,對 GalaChain 上的區塊鏈遊戲「Arcano」發動竊取行動。同時,管理員還頻繁向群組發放 Hex-Rays 與 IDA Pro 的逆向工程、反編譯與惡意程式脫殼等專業訓練教材,顯示該組織正積極提升成員的技術能力。
儘管如此,ZachXBT 在總結時犀利指出,這個群體的成熟度仍遠低於 Lazarus 旗下的 AppleJeus 或 TraderTraitor 等頂級駭客團體。他最後拋出了一個引人深思的觀點:對於其他的網路威脅者來說,這些防禦薄弱、滿手資金且「罪有應得」的低階北韓駭客團體,或許才是現成且低風險的最佳攻擊目標。
📍相關報導📍
Circle 單方面凍結 16 家企業錢包,北韓駭客贓款卻袖手旁觀
