知名区块链调查员ZachXBT近期发布了一份详细的法医分析报告,揭露了一个由朝鲜IT人员运营的全球加密货币支付网络。该调查基于从一名朝鲜IT人员设备中获取的内部服务器数据,详细记录了该组织如何利用虚假身份和多层法币转换渠道进行资金洗钱。
根据ZachXBT披露的信息,该非法运营网络在2025年11月下旬以来,涉及的加密货币流入资金已超过350万美元,平均每月处理约100万美元的汇款。泄露的数据集包含390个用户账户、详细的聊天记录以及完整的加密货币交易明细。
内部中转站Luckyguys.site的运作机制
调查核心指向一个名为luckyguys.site的自建通讯平台。该平台在设计上模仿了Discord,专门用于朝鲜海外IT人员向其上级汇报并确认汇款进度。令人惊讶的是,该服务器的安全措施极为薄弱,至少有10个用户账户长期使用“123456”作为默认登录密码。
泄露的记录显示,用户个人资料中包含了具体的韩文姓名、所在城市、分配的角色以及内部小组代码,这些特征与已知的朝鲜海外IT人员结构完全吻合。资金流动则由名为“PC-1234”的管理员账户统一调控,该账户负责为不同用户发放各类加密货币交易所和金融科技平台的临时登录凭证。
调查进一步证实了该网络的关联性。记录中出现的三个实体——Sobaeksu、Saenal和Songkwang,均已被美国财政部海外资产控制办公室(OFAC)列入制裁名单。此次泄露的数据不仅暴露了朝鲜利用加密资产规避制裁的流程,也揭示了其在海外业务操作中的关键安全漏洞。通过分析聊天记录和交易路径,ZachXBT为追踪此类非法金融操作提供了关键的证据链。