朝鲜IT网络漏洞揭露每月百万美元欺诈计划

区块链分析师ZachXBT近期调查揭露了一起与朝鲜IT工作者相关的大规模内部漏洞。泄露数据曝光了390个账户网络、聊天记录及加密货币交易记录。

此外，调查发现一个通过伪造身份和金融欺诈运作的协同系统，每月处理约100万美元资金。该漏洞罕见地揭示了这些操作背后的运作机制。

ZachXBT报告称，匿名信源在入侵某朝鲜IT工作者的设备后提供了这些数据。感染源自信息窃取程序，该程序提取了IPMsg聊天记录、浏览器历史及身份信息。

日志还暴露了名为luckyguys[.]site的内部通讯枢纽平台，其功能类似于用于支付汇报和行动协调的私有通讯系统。

支付基础设施与运作流程

数据显示存在连接加密货币流与琺幣兑换的结构化支付通道。用户通过交易所转账，或借助中国银彳账户及Payoneer等金融科技平台完成资产转换，从而维持多通道稳定流动性。

值得注意的是，内部服务器多个账户使用弱密码"123456"，暴露出严重安全漏洞。

平台包含用户角色、朝鲜姓名及定位数据，与已知朝鲜IT工作架构吻合。此外，三家关联公司Sobaeksu、Saenal和Songkwang已被列入OFAC制裁名单。

ZachXBT追踪到自2025年11月下旬以来，超过350万美元流入相关浅包地址。操作模式均需经由标识为PC-1234的管理员账户集中确认，该账户负责验证支付并分发交易所及金融科技平台凭证。

2025年12月，一个与行动关联的Tron浅包遭Tether冻结，显示对国家级组织非法加密活动的执法压力正在加大。

运作深度与培训活动

漏洞还曝光了内部讨论与培训资料。某Slack频道显示33名朝鲜IT工作者通过IPMsg实时通讯。管理人员分发了43个培训模块，内容涵盖IDA Pro、Hex-Rays等工具。

这些材料涉及逆向工程、调试及软件漏洞利用技术。尽管相比AppleJeus或TraderTraitor等高级组织存在技术差距，该团伙仍展现出体系化培训能力，并维持可观收入规模。

泄露日志还提及使用伪造身份和深度伪造技术渗透求职系统的尝试，部分对话涉及针对游戏平台与金融服务的攻击计划。

相关阅读：SBI瑞波亚洲已完成XRP账本(XRPL)代币发行平台建设