ZachXBT披露朝鮮IT工作者內部平臺:月流水約100萬美元,涉及偽造身份與法律文件造假
平臺結構與運作細節
根據鏈上偵探ZachXBT披露,一匿名信源共享了從朝鮮內部支付伺服器竊取的數據,涵蓋390個帳戶、聊天記錄及加密貨幣交易資訊。該平臺類似Discord,用於向上級匯報與付款,網站預設密碼「123456」長期未更動,用戶列表包含角色、朝鮮姓名、城市與編碼組別,並涉及三家已被OFAC制裁的公司:Sobaeksu、Saenal與Songkwang。
資金流動與交易模式
自2025年11月底至今,該平臺處理的支付錢包已累計收到超過350萬美元。支付模式固定為:工作者將加密貨幣從交易平臺轉出,或透過Payoneer等平臺使用銀行帳戶轉移法幣,由管理員「PC-1234」在確認到帳後提供帳戶憑證。
組織架構與內部活動
組織架構圖清晰展示每個用戶與組別的支付總額,以及團夥的其他活動與內部細節,包括使用Astrill跨防火牆工具、假身份求職、Slack討論,以及互相分享逆向工程培訓資料。部分聊天記錄顯示朝鮮IT工作者曾討論透過尼日利亞代理竊取項目資金,但尚未確認是否實施。
相關法律與國際反應
美國財政部已制裁6名個人與2家實體,指控其參與朝鮮政府主導的海外IT勞工項目,透過虛假身份與偽造文件獲取美國資金。此外,美國司法部亦指控四名朝鮮黑客假扮遠端開發者,滲透一家位於亞特蘭大的區塊鏈初創公司,竊取約90萬美元加密貨幣。