درون ماشین رمزنگاری کره‌شمالی: جدیدترین تحقیقات ZachXBT

محقق بلاکچین ZachXBT یکی از مفصل‌ترین گزارش‌های خود را منتشر کرده است و این گزارش پرده از این راز برمی‌دارد که چگونه کارمندان فناوری اطلاعات کره شمالی هر ماه میلیون‌ها دلار از صنعت کریپتو خارج می‌کنند.

یک منبع ناشناس داده‌های فیلتر شده از یک سرور پرداخت داخلی کره شمالی را به ZachXBT تحویل داد. این مجموعه داده شامل ۳۹۰ حساب کاربری، لاگ‌های چت خصوصی و سوابق تراکنش‌های رمزارزی بود که از دسامبر ۲۰۲۵ تا آوریل ۲۰۲۶ را پوشش می‌داد. هیچ یک از این اطلاعات قبلاً عمومی نشده بود. آنچه ZachXBT در داخل آن یافت، یک طرح کاملاً عملیاتی و سازمان‌یافته بود که تقریباً ۱ میلیون دلار در ماه از طریق هویت‌های جعلی، اسناد قانونی تقلبی و یک شبکه تبدیل رمزارز به فیات بدون نقص درآمدزایی می‌کرد.

در مرکز این عملیات، سایتی به نام luckyguys[.]site قرار داشت — یک پلتفرم حواله داخلی که توسط کارمندان فناوری اطلاعات کره شمالی برای گزارش پرداخت‌ها به سرپرستان خود استفاده می‌شد. این پلتفرم را به عنوان یک پیام‌رسان خصوصی در نظر بگیرید که به طور خاص برای انتقال پول ساخته شده است. رمز عبور پیش‌فرض این پلتفرم ۱۲۳۴۵۶ بود. ده کاربر هرگز آن را تغییر نداده بودند. لیست کاربران شامل نام‌های واقعی کره‌ای، موقعیت مکانی شهرها، نام‌های گروهی کدگذاری شده و نقش‌های محول شده بود. سه شرکت از شرکت‌هایی که در داده‌ها ظاهر شدند، در حال حاضر توسط OFAC تحریم شده‌اند: سوباکسو، ساینال و سونگ‌کوانگ.

از اواخر نوامبر ۲۰۲۵، بیش از ۳.۵ میلیون دلار از طریق آدرس‌های کیف پول پرداخت مرتبط با این شبکه عبور کرده است. این روش در بین کاربران یکسان بود. کارگران رمزارز را از یک صرافی یا سرویس دریافت می‌کردند، یا درآمد خود را از طریق حساب‌های بانکی چینی و پلتفرم‌هایی مانند Payoneer به فیات تبدیل می‌کردند. یک حساب ادمین مرکزی که فقط با نام PC-1234 شناسایی شده بود، دریافت را تأیید می‌کرد و اعتبارنامه‌های مربوط به هر صرافی یا پلتفرم فین‌تکی که در آن دوره استفاده می‌شد را توزیع می‌کرد. یک آدرس پرداخت ترون توسط تتر در دسامبر ۲۰۲۵ مسدود شد — به این معنی که کسی قبلاً از این اتفاق باخبر بود. اما این امر شبکه را متوقف نکرد.

یکی از کارگران که با نام «جری» شناخته می‌شد، در حالی که از طریق Astrill VPN متصل بود، هنگام درخواست برای مشاغل از راه دور تحت هویت‌های جعلی دستگیر شد. پیام‌های داخلی نشان می‌داد که کارگران در حال بحث در مورد یک خبر درباره یک کارمند فناوری اطلاعات کره شمالی هستند که در طول مصاحبه شغلی از فناوری دیپ‌فیک استفاده کرده و با نگرانی از خود می‌پرسیدند که آیا آن شخص یکی از خودشان بوده است. سی و سه کارگر در حال ارتباط در یک شبکه مشابه یافت شدند. این یک گروه کوچک و منزوی نبود. این یک نیروی کار با ساختار، انضباط و یک زنجیره فرماندهی بسیار واضح بود.

بین نوامبر ۲۰۲۵ و فوریه ۲۰۲۶، ادمین شبکه ۴۳ ماژول آموزشی متمرکز بر Hex-Rays و IDA Pro — ابزارهای حرفه‌ای مورد استفاده برای مهندسی معکوس و تحلیل باینری — را توزیع کرد. این مطالب شامل دیس‌اسمبلی، دی‌کامپایل، دیباگینگ و آن‌پک کردن فایل‌های اجرایی مخرب بود. اینها ابزارهای یک عملیات کلاهبرداری ابتدایی نیستند. اینها ابزارهای افرادی هستند که برای انجام آسیب‌های جدی آماده می‌شوند.

ZachXBT با دقت اشاره می‌کند که این گروه در سطح پایین‌تری نسبت به گروه‌های تهدیدآمیز خطرناک‌تر کره شمالی مانند AppleJeus و TraderTraitor قرار دارد که مسئول برخی از بزرگترین سرقت‌های رمزارزی ثبت شده هستند. این گروه در رده پایین‌تری قرار دارد. اما پایین‌تر بودن به معنای بی‌ضرر بودن نیست. ZachXBT قبلاً تخمین زده بود که کارمندان فناوری اطلاعات کره شمالی در مجموع ماهانه چندین میلیون دلار در صنعت درآمدزایی می‌کنند، و این تحقیق با مدارک معتبر این رقم را تأیید می‌کند. سایت پرداخت داخلی کمی پس از انتشار گزارش ZachXBT غیرفعال شد. تمام داده‌ها از قبل آرشیو شده بودند.

پاسخ صنعت

گزارش ZachXBT در سکوت منتشر نشد. این گزارش در میانه هفته‌ای منتشر شد که صنعت از قبل با مقیاس حضور کره شمالی در تیم‌های رمزارزی دست و پنجه نرم می‌کرد. چند روز قبل از انتشار گزارش، تیلور موناهان، محقق امنیتی MetaMask، ادعا کرد که بیش از ۴۰ پلتفرم دیفای ناخواسته توسعه‌دهندگان کره شمالی تحت حمایت دولت را به کار گرفته‌اند، که برخی از آنها به تابستان دیفای در سال ۲۰۲۰ بازمی‌گردد. او در X نوشت: «بسیاری از کارمندان فناوری اطلاعات کره شمالی پروتکل‌هایی را که می‌شناسید و دوست دارید، ساخته‌اند»، و افزود که بسیاری از این کارگران تجربه واقعی بلاکچین داشتند که شناسایی آنها را به شدت دشوار می‌کرد.

خود ZachXBT، وقتی در مورد پیچیدگی این تاکتیک‌ها از او سوال شد، رک و راست پاسخ داد. او گفت: «تهدیدها از طریق آگهی‌های شغلی، لینکدین، ایمیل، زوم یا مصاحبه‌ها ابتدایی هستند و به هیچ وجه پیچیده نیستند. تنها چیزی که در مورد آنها وجود دارد این است که بی‌امان هستند.»

واکنش جامعه گسترده‌تر متفاوت بود. بسیاری به بی‌دقتی در استخدام در میان تیم‌هایی اشاره کردند که هنگام هشدار در مورد تهدیدات امنیتی احتمالی حالت تدافعی می‌گیرند. برخی دیگر به آمار اشاره کردند: در سال ۲۰۲۵، گروه‌های مرتبط با کره شمالی حداقل ۲.۰۲ میلیارد دلار رمزارز سرقت کردند — ۶۰ درصد از کل سرقت‌های جهانی در آن سال — شامل هک ۱.۵ میلیارد دلاری بای‌بیت. این آخرین تحقیق یک حادثه مجزا نیست. این یک قطعه قابل مشاهده از یک عملیات بسیار بزرگتر است.

آنچه این تحقیق آشکار می‌سازد این است که عملیات رمزارزی کره شمالی مجموعه‌ای از فریلنسرهای سرکش نیست. این یک سازمان ساختاریافته و سلسله‌مراتبی با سرپرستان، مدیران، کارگران آموزش‌دیده و یک زیرساخت پرداخت است که ماه‌ها بدون وقفه در حال اجرا بوده است. برای هر پروژه رمزارزی، صرافی یا DAO که مشارکت‌کنندگان از راه دور استخدام می‌کند، این یک مشکل دور از دسترس نیست. این کارگران همین الان در حال درخواست شغل هستند، با پورتفولیوهای صیقلی و چهره‌هایی که ممکن است متعلق به خودشان نباشد. تأیید هویت هرگز اینقدر اهمیت نداشته است.

بلاکچین شفاف است. این شبکه‌ها روی عدم توجه صنعت حساب باز کرده‌اند.