نشر المحقق في مجال البلوك تشين ZachXBT في 8 أبريل 2026 تحليلاً تفصيلياً للبيانات الداخلية التي تم تسريبها من خادم دفع تابع لكوريا الشمالية، كاشفاً عن مخطط يعالج ما يقارب $1 مليون شهرياً من خلال العملات المشفرة عبر هويات مزيفة، ومستندات قانونية مزورة، وأنظمة لتحويل العملات المشفرة إلى نقد منسقة.
يتضمن مجموعة البيانات 390 حساباً وسجلات محادثات وسجلات معاملات من أواخر 2025 إلى أوائل 2026، مع عناوين محافظ مُتتبَّعة تعالج أكثر من $3.5 مليون، وروابط إلى ثلاث جهات مُدرجة حالياً على قائمة العقوبات لدى مكتب مراقبة الأصول الأجنبية التابع لوزارة الخزانة الأمريكية (OFAC).
تكشف بيانات خادم الدفع الداخلي عن شبكة منسقة
قدّم مصدر غير مُسمّى بيانات تم استخراجها من خادم دفع داخلي يُستخدم بواسطة عمال تكنولوجيا المعلومات في كوريا الشمالية (DPRK). تتضمن مجموعة البيانات سجلات محادثات من IPMsg وقوائم حسابات وسجلّات المتصفح وسجلات المعاملات. ناقش المستخدمون منصة تُسمّى luckyguys[.]site، وجرى وصفها باعتبارها مركز تحويلات يعمل كأداة مراسلة وقناة للإبلاغ في الوقت نفسه. قدّم العمال أرباحهم وتلقّوا التعليمات عبر هذه المنصة.
أظهر ضعفٌ أمني النظام: فقد استخدمت عدة حسابات كلمة المرور الافتراضية “123456” دون إجراء أي تغييرات. أدرجت سجلات المستخدمين أسماء كورية ومدناً ومعرّفات مجموعات مُشفّرة. ظهرت ثلاث جهات—Sobaeksu وSaenal وSongkwang—في البيانات وهي حالياً خاضعة لعقوبات OFAC، ما يربط الشبكة بعمليات جرى تحديدها سابقاً.
أكد حساب إداري مُعرّف باسم PC-1234 المدفوعات ووزّع بيانات اعتماد الحساب، والتي كانت تختلف بين بورصات العملات المشفرة ومنصات التكنولوجيا المالية تبعاً لاحتياجات المستخدمين.
أنماط المعاملات تُظهر تدفقاً ثابتاً بقيمة $3.5 مليون
منذ أواخر نوفمبر 2025، عالجت عناوين محافظ مُتتبَّعة أكثر من $3.5 مليون. كان نمط التحويلات متسقاً: نقل المستخدمون العملات المشفرة من بورصات أو خدمات، ثم حوّلوا ذلك إلى عملة ورقية عبر حسابات بنكية صينية أو منصات مثل Payoneer. أكد PC-1234 استلام المبلغ وقدم بيانات اعتماد الحساب.
ربط تتبّع البلوك تشين بين عدة عناوين دفع وعناقيد DPRK المعروفة. جرى تجميد عنوان دفع واحد من Tron بواسطة Tether في ديسمبر 2025. رسم ZachXBT الهيكل التنظيمي الكامل للشبكة، بما في ذلك إجماليات المدفوعات لكل مستخدم ولكل مجموعة، اعتماداً على بيانات معاملات تمت إزالتها/استخراجها من ديسمبر 2025 حتى فبراير 2026.
هويات مزيفة وتدريب وتنسيق
كشفت بيانات جهاز مخترق عن شخصيات مزيفة وطلبات وظائف ونشاط المتصفح. اعتمد العمال على أدوات مثل Astrill VPN لإخفاء المواقع. أشارت مناقشات داخل Slack إلى منشور مدونة حول متقدّم/طالب وظائف مُعدّ بتقنية deepfake. أظهر لقطة شاشة واحدة 33 من عمال تكنولوجيا المعلومات في DPRK يتواصلون على الشبكة نفسها عبر IPMsg.
ناقش أحد العمال بشكل فعّال سرقة مشروع يُسمّى Arcano (لعبة على GalaChain) مع عامل آخر من عمال تكنولوجيا المعلومات في DPRK عبر وسيط نيجيري، رغم أنه لا يزال غير واضح ما إذا كانت الهجمة قد تحققت فعلاً. أرسل المسؤول 43 وحدة تدريبية تغطي مواضيع هندسة عكسية، بما في ذلك Hex‑Rays وIDA Pro، مع التركيز على التفكيك والتصحيح وتحليل البرمجيات الخبيثة، ما يشير إلى استمرار التطوير التقني داخل الشبكة.
المقارنة مع مجموعات تهديد DPRK الأخرى
لاحظ ZachXBT أن هذه المجموعة من نشاط عمال تكنولوجيا المعلومات في DPRK أقل تطوراً مقارنةً بمجموعات مثل AppleJeus وTraderTraitor، التي تعمل بكفاءة أعلى بكثير وتطرح أكبر المخاطر على الصناعة. قدّر أن عمال تكنولوجيا المعلومات في DPRK يولّدون أرقاماً سباعية متعددة في الدخل شهرياً، وتدعم البيانات ذلك. كما اقترح أن جهات التهديد تترك فرصة قائمة من خلال عدم استهداف مجموعات DPRK منخفضة المستوى، مستشهداً بانخفاض خطر تبعات ذلك والمنافسة المحدودة.
الأسئلة الشائعة
ما البيانات التي كشفها ZachXBT عن عمال تكنولوجيا المعلومات في كوريا الشمالية؟
نشر ZachXBT بيانات داخلية من خادم دفع تابع لكوريا الشمالية تم اختراقه، بما في ذلك 390 حساباً وسجلات محادثات وسجلات معاملات وهويات مزيفة. كشفت البيانات عن مخطط يعالج ما يقارب $1 مليون شهرياً في العملات المشفرة، حيث تتولى محافظ مُتتبَّعة التعامل مع أكثر من $3.5 مليون منذ أواخر 2025.
ما الشركات التي تم تحديدها كجزء من الشبكة؟
ظهرت ثلاث جهات—Sobaeksu وSaenal وSongkwang—في البيانات وهي حالياً خاضعة لعقوبات مكتب مراقبة الأصول الأجنبية (OFAC) التابع للولايات المتحدة، ما يربط الشبكة بعمليات DPRK جرى تحديدها سابقاً.
ما مواد التدريب التي تم العثور عليها في البيانات؟
أرسل المسؤول 43 وحدة تدريبية تغطي الهندسة العكسية والتفكيك وإعادة التشكيل/إزالة التجميع (decompilation) والتصحيح المحلي والبعيد وتحليل البرمجيات الخبيثة باستخدام أدوات مثل Hex‑Rays وIDA Pro، ما يشير إلى استمرار التطوير التقني داخل الشبكة.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
