朝鲜黑客每月百万美元诈骗流水全曝光：交流群密码是123456，用VPN、假身份申请工作

type

Post

status

Published

date

Jul 2, 2021

slug

zachxbt

summary

全面披露了他从匿名来源获得的朝鲜内部支付服务器完整泄露数据。

category

互联网观察

icon

password

ZachXBT最近在X平台上发布了帖子，全面披露了他从匿名来源获得的朝鲜内部支付服务器完整泄露数据。这些数据此前从未公开过，包含390个账户、全部聊天记录以及加密货币交易详情。匿名来源是通过信息窃取器（infostealer）感染一名朝鲜IT工作者的设备后窃取的，提取内容包括IPMsg聊天日志、伪造身份文件以及浏览器历史记录。ZachXBT花费大量时间逐一分析这些材料，最终揭露了一个每月约100万美元规模的复杂网络：朝鲜IT工作者利用伪造身份、假证件和全球远程工作或诈骗手段赚取资金，再通过一个内部平台统一向上级汇报并完成加密货币到法币的转换。

这个内部平台名为luckyguys.site，本质上是一个类似Discord的私密通讯工具，专门供朝鲜IT工作者向他们的“上级”或“handler”汇报支付情况。

令人震惊的是，该网站的默认密码竟然是123456，而且至少有十名用户从未修改过它。用户列表中包含各种角色、朝鲜姓名、所在城市以及编码化的小组名称，这些名称与已知的朝鲜IT工作者行动模式高度一致。其中甚至出现了三家已被美国OFAC制裁的公司：Sobaeksu、Saenal和Songkwang。线程中还展示了该平台的部分用户界面截图，清晰显示了这些信息。

在具体支付流程方面，ZachXBT以用户“Rascal”为例，展示了其与管理员账号PC-1234之间的私信记录，从2025年12月持续到2026年4月。这些私信详细记录了支付转账过程和伪造身份的使用情况。所有支付均由管理员PC-1234统一处理和确认：工作者先将资金（加密货币或通过Payoneer、中国银行账户转成的法币）转入指定地址，管理员确认到账后会提供交易所或金融科技支付平台的账号凭证。聊天记录中多次提到使用香港地址接收账单和货物（真实性需进一步验证），并频繁出现Astrill VPN等工具来隐藏踪迹。从2025年11月底开始，仅支付钱包地址就累计收到超过350万美元资金，支付模式在不同用户间高度一致。

ZachXBT利用完整数据集绘制了整个网络的完整组织架构图，并制作成互动式页面供公众查看（链接：https://investigation.io/dprk-itw-breach/，访问密码仍是123456）。

该图覆盖的时间范围主要是2025年12月至2026年2月，支付总额基于抓取的交易数据统计（可能有轻微差异）。页面顶部清晰标注总账户数390个、含聊天记录的214个，以及核心接收钱包：BEP-20主地址0xb51DA55047Fd899aD08Ab5CE349823664d311998（所有团队利润最终汇入此地址，由PC-1234管理），以及TRON地址TSxYS91qoXrJUoMhWaQfMz9p2b7FTw57L3（该地址已在2025年12月30日被Tether冻结，余额约77,340.41 USDT）。此外，PC-1234还向用户提供了多个Payoneer账号（如b2bms@outlook.com、pandora.llc@outlook.com等）和一个美国JPMorgan Chase银行账户（路由号028000024，账号10000015430925）。

组织架构图按层级和基地详细划分，最顶层是管理员PC-1234，下设710 Command Department（首席JiHuiBu），其中rcm（经理）支付总额高达61.4万美元，sam（副经理）30.6万美元，wester（boss）1.1万美元等；此外还有Base 1 Nampho Ship（jgs313支付821美元）、Base 1 Hambuk Info（mighty支付6.3万美元）、Base 3 Unit 313/PN_313（kih516支付3万美元等）、Base 4 KUT（BrandonBaker、JoCholRyong、peak sin yong等合计12.9万美元）。其他小组包括Taeyangyol（3k美元）、Sinpho（4k美元）、PyongNam（7万美元，由777老板主导）、Medical College（1.4万美元）、Special Products（3k美元）、Kwang Dae（2.1万美元）、Rung Ra（3k美元）、21 Company（4k美元）、Metal 2（2k美元）、Railway（7k美元）、Industry 2、Branch（多达数万美元）、Computer Univ.（4k美元）、Tech College（5k美元）、HamHungBunWon/Library/Alpha-a/Ham Nam Dae Un（3k美元）、Hamnam Trade（2万美元）、Rajin Marine Univ.（3k美元）、HamNam ManGyong（5k美元）、Jongbo（1万美元）、HMB/HBE（多组累计数万美元）、Moran（2.5万美元）、WonSan Rakwon（3k+2k美元）、Kumsan Rakwon（1k+2k美元）、Ryang Gang（7k美元）等等，页面列出了数十个类似小组，每个小组下都有具体用户聊天记录、交易哈希链接（如BSCScan、Etherscan、Tronscan上的USDT转账）和支付证明截图，覆盖BEP-20、ERC-20、TRC-20等多种链上路径，以及Payoneer转账细节。

除了支付记录，泄露数据还暴露了更多操作细节。例如，一名名为Jerry的用户设备被入侵，显示其频繁使用Astrill VPN和各种假身份申请远程工作；

内部Slack聊天中，用户Nami分享了一篇关于朝鲜IT工作者使用deepfake申请职位的博客文章，其他用户询问是否就是他们自己，并提醒禁止分享外部链接；另有截图显示同一网络上有33名朝鲜IT工作者通过IPMsg进行通讯。

Jerry还与另一名IT工作者讨论通过“尼日利亚代理”作为社会工程学代理人，针对GalaChain游戏项目Arcano实施盗窃，不过目前尚不清楚该攻击是否实际发生。管理员PC-1234在2025年11月至2026年2月期间，向群组发送了43个Hex-Rays/IDA Pro逆向工程培训模块，内容涵盖反汇编、反编译、本地与远程调试以及各种网络安全主题，其中11月20日分享的一个链接明确标题为“using-ida-debugger-to-unpack-an-hostile-pe-executable”。

ZachXBT在线程结尾指出，这个朝鲜IT工作者集群的专业程度相对较低，与AppleJeus或TraderTraitor等高级团伙相比，运作效率和复杂性都远不如后者，但仍能每月稳定为国家贡献数百万美元收入，这也直接印证了他此前对朝鲜IT工作者整体每月收入规模的估算（多达七位数）。他还发表了一个不受欢迎的观点：威胁行为者其实错过了一个低风险、高回报的机会——这些低阶团伙目标明确、报复风险低，且从道德角度“arguably deserving”（活该被针对）。ZachXBT表示，他计划继续完善该调查页面（https://investigation.io/dprk-itw-breach/），并感谢@domain帮助购买了两个优质域名。

在后续更新帖中，ZachXBT补充道：他发帖后，luckyguys.site网站已被迅速下线，但他早已提前完整存档所有数据，不会丢失。目前互动组织架构图页面仍可访问，所有证据包括聊天截图、交易证明、层级关系图、链上地址关联以及Payoneer账号列表等，全部公开供任何人自行验证。

这次曝光彻底揭露了一个组织严密、高效运转的假身份洗钱网络：朝鲜IT工作者在全球范围内用伪造证件远程赚钱，再通过这个“支付Discord”将资金统一上交国家，整个过程从设备感染到资金归集滴水不漏，堪称一次罕见的内部视角深度调查。ZachXBT的分析不仅提供了海量原始数据，还通过链上追踪将部分支付地址关联到已知朝鲜IT工作者团伙，为行业敲响了警钟，也让外界得以一窥这个隐秘帝国的真实运作全貌。