Расследование известного блокчейн-аналитика ZachXBT, основанное на утечке данных с устройства северокорейского IT-работника, выявило масштабную организованную сеть, которая генерировала около $1 миллиона в месяц за счёт финансового обмана и кражи криптовалют. В сеть входило около 390 аккаунтов, а общая выручка с конца ноября 2026 года составила более $3,5 миллиона.
Операционная модель группы, насчитывавшей до 140 участников, включала несколько направлений. Основным был удалённый труд под фальшивыми идентичностями: используя поддельные документы (например, ирландский паспорт или счета из Гонконга), участники сети, такие как «Джерри» и «Раскал», устраивались на позиции full-стек разработчиков и SEO-специалистов через платформы вроде Indeed, запрашивая оплату около $30 в час.
Полученные криптоплатежи конвертировались в фиат и выводились на китайские банковские счета через платформы вроде Payoneer. Для координации использовался сайт luckyguys.site, доступ к которому был защищён крайне слабым паролем «123456». Анализ кошельков также выявил связь с другими известными северокорейскими адресами, ранее заблокированными Tether в декабре 2025 года. Некоторые пользователи платформы, согласно данным, работали на компании Sobaeksu, Saenal и Songkwang, внесённые в санкционный список OFAC.
Утечка также предоставила редкую возможность заглянуть внутрь организации: в данных обнаружились таблицы лидеров (leaderboards), показывающие, сколько криптовалюты каждый работник принёс организации с 8 декабря, с прямыми ссылками на детали транзакций в блокчейн-обозревателях. Кроме того, были найдены логи обучения, раскрывающие методы обратной разработки (reverse-engineering) и мошенничества с идентификацией.
ZachXBT отметил, что, несмотря на масштаб операции, эта группа менее изощрена, чем другие северокорейские хакерские объединения, такие как AppleJeus и TraderTraitor, которые представляют более серьёзную угрозу для индустрии. Напомним, что северокорейские хакеры, по оценкам, с 2009 года похитили более $7 миллиардов, включая громкие атаки на мост Ronin ($625 млн) и биржу Bybit ($1,4 млрд), а также недавний взлом протокола Drift на $280 млн в апреле 2026 года.
