นักสืบเชิงบล็อกเชน ZachXBT เผยแพร่เธรด 11 ตอนเมื่อวันที่ 8 เมษายน 2026 โดยเปิดโปงข้อมูลที่ถูกขโมยออก (data exfiltrated) จากเซิร์ฟเวอร์การชำระเงินภายในของเกาหลีเหนือที่ใช้โดยผู้ปฏิบัติงานด้านไอทีของ DPRK เผยว่ามีการประมวลผลการชำระเงินมากกว่า $3.5 ล้านนับตั้งแต่ปลายเดือนพฤศจิกายน 2025
ประเด็นสำคัญ:
- การสืบสวนของ ZachXBT เมื่อวันที่ 8 เมษายน เปิดเผยเซิร์ฟเวอร์การชำระเงินของผู้ปฏิบัติงานด้านไอทีของ DPRK ที่ประมวลผลเงินมากกว่า $3.5 ล้านนับตั้งแต่ปลายเดือนพฤศจิกายน 2025
- มีเอนทิตีที่ถูกคว่ำบาตรโดย OFAC จำนวนสามแห่ง ได้แก่ Sobaeksu, Saenal และ Songkwang ปรากฏอยู่ในรายชื่อผู้ใช้ที่ถูกเจาะจาก luckyguys.site
- เว็บไซต์ภายในของ DPRK หยุดทำงานในวันที่ 9 เมษายน 2026 แต่ ZachXBT ได้เก็บถาวรข้อมูลทั้งหมดไว้ก่อนการเผยแพร่เธรด 11 ตอน
แฮกเกอร์เกาหลีเหนือใช้รหัสผ่านเริ่มต้น ‘123456’ บนเซิร์ฟเวอร์ชำระเงินคริปโตภายใน
ข้อมูลที่รั่วไหลมาจากอุปกรณ์ของผู้ปฏิบัติงานด้านไอทีของ DPRK ที่ถูกบุกรุกด้วยมัลแวร์ประเภท infostealer แหล่งข่าวที่ไม่ระบุนามได้แบ่งปันไฟล์กับ ZachXBT ซึ่งยืนยันว่าเนื้อหาชุดนี้ไม่เคยถูกเผยแพร่ต่อสาธารณะมาก่อน บันทึกที่ถูกดึงออกมามีบัญชีราว 390 บัญชี, บันทึกแชท IPMsg, ตัวตนที่ถูกสร้างขึ้นปลอม, ประวัติเบราว์เซอร์ และบันทึกธุรกรรมสกุลเงินดิจิทัล
แพลตฟอร์มภายในที่เป็นศูนย์กลางของการสืบสวนครั้งนี้คือ luckyguys.site ซึ่งยังถูกเรียกภายในว่า WebMsg ระบบนี้ทำหน้าที่เป็นผู้ส่งสารลักษณะเดียวกับ Discord ทำให้ผู้ปฏิบัติงานด้านไอทีของ DPRK รายงานการชำระเงินให้กับผู้บงการของตน อย่างน้อยมีผู้ใช้ 10 รายที่ไม่เคยเปลี่ยนรหัสผ่านเริ่มต้น ซึ่งถูกตั้งเป็น “123456”
รายชื่อผู้ใช้ประกอบด้วยบทบาท ชื่อชาวเกาหลี เมือง และชื่อกลุ่มที่เข้ารหัส ซึ่งสอดคล้องกับปฏิบัติการของผู้ปฏิบัติงานด้านไอทีของ DPRK ที่เป็นที่รู้จัก มีบริษัทสามแห่งที่ปรากฏอยู่ในรายการ ได้แก่ Sobaeksu, Saenal และ Songkwang ซึ่งปัจจุบันถูกคว่ำบาตรโดยสำนักงานควบคุมสินทรัพย์ต่างประเทศของกระทรวงการคลังสหรัฐ (U.S. Treasury’s Office of Foreign Assets Control)
มีการยืนยันการชำระเงินผ่านบัญชีแอดมินส่วนกลางที่ระบุเป็น PC-1234 ZachXBT แชร์ตัวอย่างข้อความส่วนตัวโดยตรงจากผู้ใช้ที่มีชื่อเล่นว่า “Rascal” ซึ่งอธิบายการโอนที่เชื่อมโยงกับตัวตนปลอมที่เกี่ยวข้องกับการทุจริต ตั้งแต่เดือนธันวาคม 2025 ถึงเดือนเมษายน 2026 ข้อความบางส่วนอ้างถึงที่อยู่ในฮ่องกงสำหรับบิลและสินค้า แม้ความถูกต้องของข้อมูลดังกล่าวจะไม่ได้รับการยืนยัน
ที่อยู่วอลเล็ตการชำระเงินที่เกี่ยวข้องได้รับเงินมากกว่า $3.5 ล้านในช่วงเวลาดังกล่าว คิดเป็นประมาณ $1 ล้านดอลลาร์ต่อเดือน ผู้ปฏิบัติงานใช้เอกสารทางกฎหมายปลอมและตัวตนปลอมเพื่อให้ได้งาน คริปโตถูกโอนโดยตรงจากการแลกเปลี่ยน หรือถูกแปลงเป็นเงินเฟียตผ่านบัญชีธนาคารของจีนโดยใช้แพลตฟอร์มอย่าง Payoneer จากนั้นบัญชีแอดมิน PC-1234 ได้ยืนยันการรับเงินและแจกจ่ายข้อมูลรับรองสำหรับแพลตฟอร์มด้านคริปโตและฟินเทคต่าง ๆ
การวิเคราะห์บนเชนโยงที่อยู่การชำระเงินภายในกับกลุ่มที่รู้จักของผู้ปฏิบัติงานด้านไอทีของ DPRK มีการระบุที่อยู่เฉพาะสองแห่ง: ที่อยู่ Ethereum และที่อยู่ Tron ที่ Tether แช่แข็งไว้ในเดือนธันวาคม 2025
ZachXBT ใช้ชุดข้อมูลทั้งหมดเพื่อทำแผนที่โครงสร้างองค์กรของเครือข่ายแบบครบถ้วน รวมถึงยอดชำระเงินต่อผู้ใช้และต่อกลุ่ม เขาเผยแพร่แผนผังองค์กรแบบโต้ตอบ ครอบคลุมตั้งแต่เดือนธันวาคม 2025 ถึงเดือนกุมภาพันธ์ 2026 ที่ investigation.io/dprk-itw-breach ซึ่งเข้าถึงได้ด้วยรหัสผ่าน “123456.”
อุปกรณ์ที่ถูกบุกรุกและบันทึกแชทสร้างรายละเอียดเพิ่มเติมขึ้น ผู้ปฏิบัติงานใช้ Astrill VPN และตัวตนปลอมเพื่อสมัครงาน การสนทนาใน Slack ภายในมีโพสต์จากผู้ใช้ชื่อ “Nami” ที่แชร์บล็อกเกี่ยวกับผู้สมัครงานทำ deepfake ของผู้ปฏิบัติงานจาก DPRK แอดมินยังส่งโมดูลการฝึกอบรม 43 รายการของ Hex-Rays และ IDA Pro ให้แก่ผู้ปฏิบัติงานระหว่างเดือนพฤศจิกายน 2025 ถึงเดือนกุมภาพันธ์ 2026 ครอบคลุมการแยกชิ้นส่วน (disassembly), การถอดรหัสกลับ (decompilation) และการดีบัก (debugging) ลิงก์ที่แชร์หนึ่งรายการเจาะจงถึงการแกะ (unpacking) ไฟล์ปฏิบัติการ PE ที่เป็นอันตราย
พบว่ามีผู้ปฏิบัติงานด้านไอทีของ DPRK จำนวน 33 คนสื่อสารผ่านเครือข่าย IPMsg เดียวกัน รายการบันทึกที่แยกกันอ้างถึงแผนการขโมยจาก Arcano ซึ่งเป็นเกมของ GalaChain โดยใช้พร็อกซีของไนจีเรีย แม้ผลลัพธ์ของความพยายามนั้นจะไม่ชัดเจนจากข้อมูล
ZachXBT อธิบายกลุ่มก้อนนี้ว่าไม่ได้มีความก้าวหน้าด้านการปฏิบัติการเท่ากับกลุ่ม DPRK ระดับสูงกว่าอย่าง Applejeus หรือ Tradertraitor เขาเคยประเมินก่อนหน้านี้ว่าผู้ปฏิบัติงานด้านไอทีของ DPRK โดยรวมสร้างรายได้เป็นตัวเลขหลักเจ็ดต่อเดือนหลายครั้ง เขาระบุว่ากลุ่มระดับล่างอย่างกลุ่มนี้ดึงดูดผู้แสดงภัยคุกคาม เพราะความเสี่ยงต่ำและการแข่งขันมีน้อย
โดเมน luckyguys.site หยุดทำงานในวันพฤหัสบดี ซึ่งเป็นวันถัดจากที่ ZachXBT เผยแพร่ผลการค้นพบ เขายืนยันว่ามีการเก็บถาวรชุดข้อมูลทั้งหมดไว้ก่อนที่เว็บไซต์จะถูกปิดลง
การสืบสวนครั้งนี้ให้มุมมองโดยตรงว่ากลุ่มผู้ปฏิบัติงานด้านไอทีของ DPRK เก็บรวบรวมการชำระเงินอย่างไร รักษาตัวตนปลอมอย่างไร และเคลื่อนย้ายเงินผ่านระบบคริปโตและเงินเฟียตอย่างไร พร้อมเอกสารที่แสดงทั้งขนาดของการดำเนินการและช่องว่างด้านปฏิบัติการที่กลุ่มเหล่านี้พึ่งพาเพื่อยังคงเคลื่อนไหวได้
