Анонімний блокчейн-дослідник ZachXBT вивчив витік внутрішніх даних, пов'язаних із північнокорейськими IT-фахівцями, і розкрив схему відмивання криптовалют, через яку щомісяця проходить близько $1 млн.
За словами ZachXBT, у схемі беруть участь 390 користувачів. Кошти переміщуються за допомогою криптовалютних гаманців і потім конвертуються у фіатні гроші. З кінця 2025 року через пов'язані з цією мережею адреси, що відстежуються, пройшло більше $3,5 млн у криптовалютах.
У центрі схеми – внутрішня платформа, описана як хаб для грошових переказів. Тут співробітники звітують про доходи, діляться досвідом вдалих крадіжок та отримують інструкції, повідомив анонімний криптодетектив. Він припустив, що хаб виконує дві функції: служить інструментом обміну повідомленнями і пунктом координації платежів.
Згідно з ZachXBT, вкрадена криптовалюта зазвичай надходить із бірж або сервісних платформ, а потім виводиться на підставні гаманці. У ряді випадків криптовалюта конвертується у фіат через посередників, у тому числі через китайські банківські рахунки та платіжні системи.
Підтвердженням переказів та розподілом облікових даних для подальшого переміщення коштів займається спеціальний адміністративний обліковий запис. Окремі гаманці у схемі привели блокчейн-дослідника до адрес, які раніше асоціювалися з активністю північнокорейських хакерських угруповань. Як мінімум один гаманець був заморожений компанією Tether, емітентом стейблкоїнів USDT.
У листуванні користувачів фігурують корейські імена, географічні вказівки в КНДР та закодовані ідентифікатори груп, розповів ZachXBT. У листуванні згадуються три північнокорейські організації, що потрапили під санкції США, Sobaeksu, Saenal і Songkwang: їх звинуватили в роботі на уряд КНДР.
Учасники схеми створюють та використовують фальшиві особи для отримання віддаленої роботи, встановив ZachXBT, проаналізувавши історію браузерів, листування у чатах та внутрішні нотатки. Учасники скоординовано відгукувалися на вакансії, використовуючи підроблені облікові дані та дипфейки, а пізніше ділилися інформацією один з одним.
Сама мережа крім функції відмивання криптовалют використовується і як платформа для навчання шахраїв. У ній поширюються навчальні матеріали з розробки та налагодження шкідливих програм, написав ZachXBT.
Водночас, на думку блокчейн-детектива, мережа за масштабами не дотягує до пов'язаних із КНДР більш розвинених угруповань. Проте вона працює скоординовано та активно, а через неї стабільно проходять великі обсяги цифрових активів, заявив криптодослідник. Як аргумент, що підтверджує «непрофесійність мережі», ZachXBT навів доказ: деякі учасники не подбали про безпеку свого облікового запису — десять акаунтів на платформі-хабі використовували стандартний пароль, що призначається за умовчанням — «1234».
Раніше фахівець з безпеки MetaMask Тейлор Монахан (Taylor Monahan) заявила, що північнокорейські фахівці впроваджуються в криптокомпанії та проекти децентралізованих фінансів (DeFi) вже як мінімум сім років, багато з метою зламати платформи.