- Des travailleurs informatiques de la RPDC ont géré un réseau de fraude crypto de 1 million de dollars par mois avec des pipelines structurés.
- Des mots de passe faibles et des entreprises listées par l'OFAC ont exposé des vulnérabilités opérationnelles majeures.
- Les journaux de formation révèlent une ingénierie inversée organisée et une fraude d'identité à des fins de revenus.
Une enquête récente menée par l'analyste blockchain ZachXBT a révélé une violation interne à grande échelle liée à des travailleurs informatiques nord-coréens. Les données divulguées ont exposé un réseau de 390 comptes, journaux de discussion et transactions crypto.
De plus, les résultats révèlent un système coordonné qui a traité environ 1 million de dollars par mois par le biais d'identités frauduleuses et de tromperie financière. Par conséquent, la violation offre une visibilité rare sur le fonctionnement de ces opérations en coulisses.
ZachXBT a rapporté qu'une source non identifiée a fourni les données après avoir compromis un appareil lié à un travailleur informatique de la RPDC. L'infection provenait d'un infostealer, qui a extrait les journaux de discussion IPMsg, l'historique de navigation et les dossiers d'identité.
De plus, les journaux ont révélé une plateforme appelée luckyguys[.]site, qui servait de centre de communication interne. Ce système fonctionnait comme un service de messagerie privée pour signaler les paiements et coordonner les activités.
Infrastructure de paiement et flux opérationnel
Les données montrent un pipeline de paiement structuré qui relie les flux de capitaux crypto à la conversion en monnaie fiduciaire. Les utilisateurs ont transféré des fonds depuis des plateformes d'échange ou converti des actifs via des comptes bancaires chinois et des plateformes fintech comme Payoneer. Ainsi, le réseau a maintenu une liquidité stable sur plusieurs canaux.
De manière significative, le serveur interne utilisait un mot de passe par défaut faible, 123456, sur plusieurs comptes. Cette négligence a exposé de graves failles de sécurité au sein du système.
La plateforme comprenait des rôles d'utilisateur, des noms coréens et des données de localisation, qui correspondaient aux structures connues des travailleurs informatiques de la RPDC. De plus, trois entreprises liées au réseau figuraient sur les listes de sanctions de l'OFAC, notamment Sobaeksu, Saenal et Songkwang.
ZachXBT a identifié plus de 3,5 millions de dollars de transactions affluant vers des adresses de portefeuilles associées depuis fin novembre 2025. Le schéma cohérent impliquait une confirmation centralisée par un compte administrateur étiqueté PC-1234. Ce compte validait les paiements et distribuait des identifiants pour les plateformes d'échange et fintech.
De plus, un portefeuille Tron lié à l'opération a été gelé par Tether en décembre 2025. Cette action a mis en évidence une pression d'application croissante sur l'activité crypto illicite liée à des groupes soutenus par l'État.
Profondeur opérationnelle et activités de formation
La violation a également exposé des discussions internes et du matériel de formation. Un canal Slack interne montrait 33 travailleurs informatiques de la RPDC communiquant simultanément via IPMsg. De plus, les administrateurs ont distribué 43 modules de formation sur des outils tels qu'IDA Pro et Hex-Rays.
Ces matériels couvraient l'ingénierie inversée, le débogage et les techniques d'exploitation de logiciels. Par conséquent, le groupe a démontré une formation structurée malgré une sophistication limitée par rapport à des groupes avancés comme AppleJeus ou TraderTraitor. Cependant, l'ampleur des opérations a tout de même généré des flux de revenus importants.
Les journaux divulgués faisaient également référence à des tentatives d'utilisation de fausses identités et d'applications deepfake pour l'infiltration professionnelle. De plus, certaines conversations couvraient le ciblage de plateformes de jeu et de services financiers.
Connexe : SBI Ripple Asia a terminé sa plateforme d'émission de Token sur XRP Ledger (XRPL)
Avertissement : Les informations présentées dans cet article sont fournies à des fins informatives et éducatives uniquement. L'article ne constitue pas un conseil financier ou un conseil de quelque nature que ce soit. Coin Edition n'est pas responsable des pertes encourues suite à l'utilisation du contenu, des produits ou des services mentionnés. Il est conseillé aux lecteurs de faire preuve de prudence avant de prendre toute mesure liée à l'entreprise.
Source : https://coinedition.com/dprk-it-network-breach-exposes-1m-month-fraud-scheme/
