• ZachXBT于2025年11月末起曝光了一名朝鲜IT工作人员的付款服务器，该服务器处理的金额超过350万美元。
• 三个受到美国财政部制裁的实体，Sobaeksu、Saenal和Songkwang，出现在luckyguys.site被泄露的用户名单中。
• 内部朝鲜网站于2026年4月9日下线，但ZachXBT在发布11部分线程之前已将所有数据归档。

泄露的数据来自一名朝鲜IT工作人员的设备，该设备被信息窃取恶意软件感染。一个未具名的来源与ZachXBT分享了这些文件，ZachXBT确认这些材料从未在公开场合发布。提取的记录包括约390个账户、IPMsg聊天记录、伪造的身份、浏览历史和加密货币交易记录。

调查的中心内部平台是luckyguys.site，在内部也称为WebMsg。它的功能类似于Discord式的消息应用，允许朝鲜IT工作人员向其处理人员报告付款。至少有十名用户从未更改默认密码，默认设置为“123456”。

用户列表包含角色、韩文姓名、城市和与已知朝鲜IT工作人员操作一致的编码组名。出现在名单中的三家公司，Sobaeksu、Saenal和Songkwang，当前受到美国财政部外国资产控制办公室的制裁。

付款通过一个被识别为PC-1234的中央管理员账户得到确认。ZachXBT分享了来自一位昵称为“Rascal”的用户的直接消息示例，详细说明了与伪造身份相关的转账，时间跨度从2025年12月到2026年4月。一些消息提及了香港地址用于账单和商品，尽管其真实性尚未得到验证。

在此期间，相关的付款钱包地址收到了超过350万美元，相当于每月约100万美元。工作人员使用伪造的法律文件和虚假身份获得就业机会。加密货币要么直接从交易所转移，要么通过使用Payoneer等平台的中国银行账户兑换为法币。然后，管理员账户PC-1234确认收款并分发各类加密货币和金融科技平台的凭证。

链上分析将内部付款地址与已知的朝鲜IT工作人员集群关联。识别出了两个特定地址：一个以太坊地址和一个在2025年12月被Tether冻结的Tron地址。

ZachXBT使用完整数据集绘制了网络的完整组织结构图，包括每个用户和每个组的付款总额。他在investigation.io/dprk-itw-breach上发布了一幅涵盖2025年12月至2026年2月的互动组织图，密码为“123456”。

被泄露的设备和聊天记录产生了更多细节。工作人员使用Astrill VPN和虚假身份申请工作。内部Slack讨论中包括了一位名为“Nami”的用户分享的关于朝鲜工作人员深度伪造申请者的博客帖子。管理员还在2025年11月至2026年2月间向工作人员发送了43个Hex-Rays和IDA Pro培训模块，内容涵盖反汇编、反编译和调试。其中一个共享链接专门讨论了解压恶意PE可执行文件。

有33名朝鲜IT工作人员通过同一个IPMsg网络进行沟通。单独的日志条目提到计划利用尼日利亚代理从Arcano，一个GalaChain游戏中进行盗窃，尽管该努力的结果在数据中不明确。

ZachXBT将这一组群体描述为不如更高级的朝鲜团体例如Applejeus或Tradertraitor那样操作复杂。他之前估计，朝鲜IT工作人员每月总共生成多个七位数的收入。他指出，像这一类低级团体吸引威胁行为者，因为风险低，竞争小。

luckyguys.site域名在ZachXBT发布调查结果的次日，即星期四下线。他确认在网站被关闭之前，完整数据集已被归档。

此次调查提供了一个直接视角，观察朝鲜IT工作人员单元如何收集付款、维持虚假身份以及通过加密和法币系统转移资金，并提供了文件，显示这些团体保持活跃所依赖的规模和操作缺口。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。