Violação de Rede de TI da RPDC Expõe Esquema de Fraude de $1M/Mês

• Trabalhadores de TI da RPDC operaram uma rede de fraude cripto de $1M/mês com pipelines estruturados.
• Palavras-passe fracas e empresas listadas pela OFAC expuseram grandes vulnerabilidades operacionais.
• Registos de formação revelam engenharia reversa organizada e fraude de identidade para receita.

Uma investigação recente do analista de blockchain ZachXBT descobriu uma violação interna em larga escala ligada a trabalhadores de TI norte-coreanos. Os dados divulgados expuseram uma rede de 390 contas, registos de chat e transações cripto. 

Além disso, as descobertas revelam um sistema coordenado que processava cerca de $1M por mês através de identidades fraudulentas e engano financeiro. Consequentemente, a violação proporciona uma visibilidade rara sobre como estas operações funcionam nos bastidores.

ZachXBT relatou que uma fonte não identificada forneceu os dados após comprometer um dispositivo ligado a um trabalhador de TI da RPDC. A infeção teve origem num infostealer, que extraiu registos de chat IPMsg, histórico do navegador e registos de identidade. 

Adicionalmente, os registos revelaram uma plataforma chamada luckyguys[.]site, que funcionava como um hub de comunicação interno. Este sistema funcionava como um serviço de mensagens privado para reportar pagamentos e coordenar atividades.

Infraestrutura de Pagamento e Fluxo Operacional

Os dados mostram um pipeline de pagamento estruturado que conecta fluxos cripto à conversão fiat. Os utilizadores transferiam fundos de exchanges ou convertiam ativos através de contas bancárias chinesas e plataformas fintech como Payoneer. Assim, a rede mantinha liquidez estável através de múltiplos canais.

Significativamente, o servidor interno utilizava uma palavra-passe padrão fraca, 123456, em várias contas. Esta falha expôs lacunas de segurança graves dentro do sistema. 

A plataforma incluía funções de utilizador, nomes coreanos e dados de localização, que se alinhavam com estruturas conhecidas de trabalhadores de TI da RPDC. Além disso, três empresas ligadas à rede apareciam nas listas de sanções da OFAC, incluindo Sobaeksu, Saenal e Songkwang.

ZachXBT identificou mais de $3,5M em transações fluindo para endereços de carteira associados desde o final de novembro de 2025. O padrão consistente envolvia confirmação centralizada por uma conta admin rotulada PC-1234. Esta conta validava pagamentos e distribuía credenciais para exchanges e plataformas fintech.

Adicionalmente, uma carteira Tron ligada à operação enfrentou congelamento pela Tether em dezembro de 2025. Esta ação destacou a crescente pressão de fiscalização sobre atividade cripto ilícita ligada a grupos apoiados pelo estado.

Profundidade Operacional e Atividades de Formação

A violação também expôs discussões internas e materiais de formação. Um canal Slack interno mostrou 33 trabalhadores de TI da RPDC comunicando simultaneamente através do IPMsg. Além disso, os administradores distribuíram 43 módulos de formação sobre ferramentas como IDA Pro e Hex-Rays.

Estes materiais cobriam engenharia reversa, depuração e técnicas de exploração de software. Consequentemente, o grupo demonstrou formação estruturada apesar da sofisticação limitada em comparação com grupos avançados como AppleJeus ou TraderTraitor. No entanto, a escala das operações ainda gerava fluxos de receita significativos.

Os registos divulgados também referenciaram tentativas de usar identidades falsas e aplicações deepfake para infiltração em empregos. Adicionalmente, algumas conversas cobriam direcionamento de plataformas de jogos e serviços financeiros.

Relacionado: SBI Ripple Asia concluiu a sua plataforma de emissão de tokens na XRP Ledger (XRPL)