ผู้สืบสวนบล็อกเชน ZachXBT ได้เผยแพร่เมื่อวันที่ 8 เมษายน 2026 การวิเคราะห์อย่างละเอียดเกี่ยวกับข้อมูลภายในที่ถูกดึงออกจากเซิร์ฟเวอร์การชำระเงินของเกาหลีเหนือ โดยเปิดเผยโครงการที่ประมวลผลสกุลเงินดิจิทัลประมาณ $1 ล้านต่อเดือนผ่านตัวตนปลอม เอกสารทางกฎหมายที่ปลอมแปลง และระบบแปลงคริปโทเป็นฟิแอตที่ประสานงานกัน
ชุดข้อมูลประกอบด้วยบัญชี 390 ราย บันทึกแชท และประวัติธุรกรรม ตั้งแต่ช่วงปลายปี 2025 ถึงต้นปี 2026 โดยที่ที่อยู่กระเป๋าเงินที่ติดตามได้ประมวลผลมากกว่า $3.5 ล้าน และมีการเชื่อมโยงไปยังสามหน่วยงานที่ขณะนี้ถูกคว่ำบาตรโดยสำนักงานควบคุมทรัพย์สินต่างประเทศของสหรัฐอเมริกา (OFAC)
ข้อมูลเซิร์ฟเวอร์ชำระเงินภายในเผยให้เห็นเครือข่ายที่ประสานกัน
แหล่งข่าวที่ไม่เปิดเผยชื่อได้ให้ข้อมูลที่ดึงออกมาจากเซิร์ฟเวอร์การชำระเงินภายในซึ่งใช้โดยผู้ปฏิบัติงานด้านไอทีของเกาหลีเหนือ (DPRK) ชุดข้อมูลประกอบด้วยบันทึกแชทจาก IPMsg รายชื่อบัญชี ประวัติการท่องเว็บ และบันทึกธุรกรรม ผู้ใช้ได้พูดคุยเกี่ยวกับแพลตฟอร์มที่เรียกว่า luckyguys[.]site ซึ่งถูกอธิบายว่าเป็นศูนย์กลางการโอนเงิน (remittance) ที่ทำหน้าที่ได้ทั้งเป็นเครื่องมือสื่อสารและเป็นช่องทางการรายงาน พนักงานส่งรายได้และรับคำแนะนำผ่านแพลตฟอร์มนี้
ระบบรักษาความปลอดภัยที่อ่อนแอทำให้เห็นช่องโหว่: หลายบัญชีใช้รหัสผ่านเริ่มต้น “123456” โดยไม่มีการเปลี่ยนแปลง รายชื่อผู้ใช้ระบุชื่อภาษาเกาหลี เมือง และตัวระบุรหัสของกลุ่ม มีอยู่สามหน่วยงาน—Sobaeksu, Saenal และ Songkwang—ที่ปรากฏในข้อมูล และขณะนี้อยู่ภายใต้การคว่ำบาตรของ OFAC ซึ่งเชื่อมโยงเครือข่ายกับปฏิบัติการที่เคยระบุไว้ก่อนหน้านี้
บัญชีผู้ดูแลระบบที่ระบุเป็น PC-1234 ยืนยันการชำระเงินและแจกจ่ายข้อมูลประจำบัญชี ซึ่งแตกต่างกันระหว่างการแลกเปลี่ยนคริปโตและแพลตฟอร์มฟินเทค ขึ้นอยู่กับความต้องการของผู้ใช้
รูปแบบธุรกรรมแสดงกระแสสม่ำเสมอ $3.5 ล้าน
นับตั้งแต่ช่วงปลายเดือนพฤศจิกายน 2025 ที่อยู่กระเป๋าเงินซึ่งติดตามได้มีการประมวลผลมากกว่า $3.5 ล้าน รูปแบบการโอนเงินสอดคล้องกัน: ผู้ใช้โอนคริปโตจากการแลกเปลี่ยนหรือบริการ จากนั้นจึงแปลงเป็นฟิแอตผ่านบัญชีธนาคารจีนหรือแพลตฟอร์มอย่าง Payoneer PC-1234 ยืนยันการได้รับและให้ข้อมูลประจำบัญชี
การไล่รอยบนบล็อกเชนเชื่อมโยงที่อยู่การชำระเงินหลายแห่งกับกลุ่มคลัสเตอร์ DPRK ที่เป็นที่รู้จัก ที่อยู่การชำระเงินบน Tron หนึ่งรายการถูกแช่แข็งโดย Tether ในเดือนธันวาคม 2025 ZachXBT ได้ทำแผนผังโครงสร้างองค์กรทั้งหมดของเครือข่าย รวมถึงยอดการชำระเงินต่อผู้ใช้และต่อกลุ่ม โดยอาศัยข้อมูลธุรกรรมที่ถูกดึงขึ้นมาจากการแลกเปลี่ยน ตั้งแต่เดือนธันวาคม 2025 ถึงกุมภาพันธ์ 2026
ตัวตนปลอม การฝึกอบรม และการประสานงาน
ข้อมูลจากอุปกรณ์ที่ถูกบุกรุกเผยให้เห็นบุคคลปลอม ใบสมัครงาน และกิจกรรมบนเบราว์เซอร์ พนักงานใช้เครื่องมืออย่าง Astrill VPN เพื่อปกปิดตำแหน่ง การสนทนาใน Slack ภายในอ้างถึงโพสต์บล็อกเกี่ยวกับผู้สมัครงานที่สร้างด้วยเทคโนโลยี deepfake ภาพหน้าจอภาพหนึ่งแสดงให้เห็นพนักงานไอทีของ DPRK จำนวน 33 คนสื่อสารอยู่บนเครือข่ายเดียวกันผ่าน IPMsg
พนักงานคนหนึ่งได้พูดคุยอย่างจริงจังเกี่ยวกับการขโมยจากโปรเจกต์ที่เรียกว่า Arcano (เกมบน GalaChain) กับพนักงานไอทีของ DPRK อีกคนผ่านพร็อกซีของไนจีเรีย แม้กระนั้นยังไม่ชัดเจนว่าการโจมตีเกิดขึ้นหรือไม่ ผู้ดูแลได้ส่งโมดูลการฝึกอบรม 43 ชุด ครอบคลุมหัวข้อด้าน reverse engineering รวมถึง Hex‑Rays และ IDA Pro โดยเน้นที่การถอดชิ้นส่วน การดีบัก และการวิเคราะห์มัลแวร์ ซึ่งบ่งชี้ว่ามีการพัฒนาทางเทคนิคอย่างต่อเนื่องภายในเครือข่าย
การเปรียบเทียบกับกลุ่มภัยคุกคาม DPRK อื่น ๆ
ZachXBT ระบุว่า กลุ่มกิจกรรมของผู้ปฏิบัติงานด้านไอทีของ DPRK ชุดนี้มีความซับซ้อนน้อยกว่ากลุ่มอย่าง AppleJeus และ TraderTraitor ซึ่งดำเนินงานได้อย่างมีประสิทธิภาพมากกว่าและก่อให้เกิดความเสี่ยงสูงสุดต่ออุตสาหกรรม เขาประเมินว่าผู้ปฏิบัติงานด้านไอทีของ DPRK สร้างรายได้เป็นตัวเลขเจ็ดหลักหลายต่อเดือน และข้อมูลดังกล่าวก็สนับสนุนเช่นนั้น นอกจากนี้ เขายังแนะนำว่าผู้กระทำการภัยคุกคามกำลังเปิดโอกาสทิ้งไว้ด้วยการไม่กำหนดเป้าหมายไปที่กลุ่ม DPRK ระดับล่าง โดยอ้างถึงความเสี่ยงต่ำต่อการตอบโต้และการแข่งขันที่น้อย
คำถามที่พบบ่อย
ZachXBT เผยข้อมูลอะไรเกี่ยวกับผู้ปฏิบัติงานด้านไอทีของเกาหลีเหนือ?
ZachXBT เผยแพร่ข้อมูลภายในจากเซิร์ฟเวอร์การชำระเงินของ DPRK ที่ถูกบุกรุก ซึ่งรวมถึงบัญชี 390 ราย บันทึกแชท บันทึกธุรกรรม และตัวตนปลอม ข้อมูลเปิดเผยโครงการที่ประมวลผลสกุลเงินดิจิทัลประมาณ $1 ล้านต่อเดือน โดยกระเป๋าเงินที่ติดตามได้จัดการมากกว่า $3.5 ล้านตั้งแต่ช่วงปลายปี 2025
มีการระบุบริษัทใดบ้างว่าเป็นส่วนหนึ่งของเครือข่าย?
มีสามหน่วยงาน—Sobaeksu, Saenal และ Songkwang—ที่ปรากฏในข้อมูล และขณะนี้อยู่ภายใต้การคว่ำบาตรของสำนักงานควบคุมทรัพย์สินต่างประเทศของสหรัฐอเมริกา (OFAC) ซึ่งเชื่อมโยงเครือข่ายกับปฏิบัติการ DPRK ที่เคยระบุไว้ก่อนหน้านี้
พบเอกสารการฝึกอบรมอะไรบ้างในข้อมูล?
ผู้ดูแลได้ส่งโมดูลการฝึกอบรม 43 ชุด ครอบคลุมการทำ reverse engineering การถอดชิ้นส่วน (disassembly) การถอดโค้ดเป็นต้นฉบับ (decompilation) การดีบักทั้งแบบในเครื่องและระยะไกล และการวิเคราะห์มัลแวร์ โดยใช้เครื่องมืออย่าง Hex‑Rays และ IDA Pro ซึ่งบ่งชี้ว่ามีการพัฒนาทางเทคนิคอย่างต่อเนื่องภายในเครือข่าย
