Uma investigação conduzida pelo analista on-chain ZachXBT expôs um amplo vazamento de dados ligado a trabalhadores de TI associados à DPRK. O material revela cerca de 390 contas, além de registros de conversas e transações com criptomoedas.

Segundo a análise, os dados apontam para um sistema coordenado capaz de movimentar aproximadamente US$ 1 milhão por mês. Além disso, o esquema envolve identidades falsas e múltiplos mecanismos de fraude financeira. Assim, o caso oferece uma visão incomum da estrutura operacional dessas redes.

De acordo com ZachXBT, as informações vieram de uma fonte anônima que comprometeu um dispositivo ligado a um operador. O acesso ocorreu via infostealer, malware que captura conversas no IPMsg, histórico de navegação e dados sensíveis.

Entre os achados, destaca-se a plataforma luckyguys[.]site, descrita como um hub interno de comunicação. Na prática, o sistema funcionava como um mensageiro privado para relatar pagamentos e coordenar atividades.

Estrutura financeira e fluxo operacional

Como o esquema sustenta a movimentação mensal

A análise indica uma estrutura organizada para movimentação de recursos. O sistema conectava transações em criptomoedas à conversão em moeda fiduciária. Usuários transferiam valores via exchanges ou, alternativamente, utilizavam contas bancárias chinesas e serviços fintech como Payoneer.

Além disso, essa estratégia favorecia liquidez contínua. Como resultado, o grupo mantinha fluxo financeiro constante e de difícil rastreamento em tempo real.

Um ponto crítico envolve o uso da senha “123456” em acessos internos. Embora simples, a prática expôs vulnerabilidades relevantes, o que sugere falhas operacionais mesmo em uma estrutura sofisticada.

O sistema também apresentava divisão clara de funções. Ao mesmo tempo, nomes em coreano e dados de localização reforçam a possível ligação com estruturas conhecidas da DPRK. Ademais, três empresas citadas, Sobaeksu, Saenal e Songkwang, constam em listas de sanções do Office of Foreign Assets Control (OFAC).

ZachXBT identificou mais de US$ 3,5 milhões em transações associadas ao esquema desde o fim de novembro de 2025. O padrão observado indica fluxo consistente entre carteiras vinculadas.

Uma conta administrativa central, chamada PC-1234, validava pagamentos e distribuía credenciais. Dessa forma, o controle permanecia concentrado, o que pode aumentar eficiência, mas também criar pontos únicos de falha.

Outro elemento relevante envolve uma carteira na rede Tron ligada à operação, posteriormente congelada pela Tether em dezembro de 2025. A medida sinaliza maior pressão de emissores e empresas sobre atividades ilícitas no mercado cripto.

Treinamento técnico e organização interna

Capacitação e métodos utilizados

O vazamento também trouxe detalhes sobre a formação técnica dos operadores. Um canal interno semelhante ao Slack mostrou 33 trabalhadores se comunicando simultaneamente via IPMsg, indicando coordenação ativa.

Além disso, foram identificados 43 módulos de treinamento distribuídos internamente. Os conteúdos abordavam ferramentas como IDA Pro e Hex-Rays, com foco em engenharia reversa, depuração e exploração de software.

Embora o nível técnico descrito pareça inferior ao de grupos como AppleJeus ou TraderTraitor, a operação demonstra eficiência operacional. Ainda assim, a escala e a organização permitem geração recorrente de receitas.

Os registros também indicam uso de identidades falsas e tecnologias de deepfake para obtenção de empregos. Em paralelo, há menções a tentativas de explorar plataformas de jogos e serviços financeiros como novos vetores de atuação.

Em suma, o conjunto de dados sugere uma operação multifacetada, que combina fraude de identidade, movimentação internacional de recursos e treinamento técnico contínuo. Por outro lado, falhas básicas de segurança e dependência de sistemas centralizados expõem fragilidades relevantes. O episódio reforça os desafios enfrentados por empresas e reguladores diante de operações associadas à DPRK no ecossistema de criptomoedas.