知名区块链调查员ZachXBT近日披露,一个与朝鲜相关的IT人员网络正通过加密货币支付和欺诈性雇佣计划,每月产生约100万美元的收入。
ZachXBT在X平台(原推特)上发布的详细调查显示,这些发现源自一个内部支付服务器的数据外泄。该服务器关联着多达390个账户。
该数据包还包含此前从未公开过的聊天记录、钱包活动及身份记录。调查显示,该团伙自去年11月以来已累计获利超过350万美元。
伪造身份与跨境资金流转
该网络依赖伪造的人格、虚假文件和协调一致的支付流程进行运作。其核心是一个类似于即时通讯服务的内部汇款平台。IT人员通过该工具汇报收益,并接收来自中央管理员账户的支付指令。
资金通常先通过加密货币交易进行流转,随后利用中国银行账户或Payoneer等平台转换为法定货币。ZachXBT已将多个支付地址与已知的朝鲜IT人员活动集群联系起来,其中一个Tron地址已于去年12月被Tether冻结。
调查还揭示了该团伙利用VPN掩盖地理位置、使用虚假身份提交工作申请等操作细节。在一次泄露的设备记录中,甚至发现了针对某个加密游戏项目的攻击讨论,但目前尚不清楚该攻击是否已付诸实施。
尽管该团伙的复杂程度似乎低于Lazarus等知名朝鲜黑客组织,但其收入规模符合此前关于朝鲜IT人员计划每月产生七位数美元收入的估算。
近期,与朝鲜相关的加密活动呈上升趋势。Solana项目Stabble曾因发现前朝鲜员工而敦促流动性提供者撤资,Drift协议也将其涉及2.8亿美元的漏洞利用事件归因于疑似朝鲜人员发起的社会工程学攻击。
