Secondo l'investigatore blockchain ZachXBT, una grande quantità di dati interni trapelati ha rivelato che, negli ultimi mesi, i dipendenti IT nordcoreani hanno generato oltre 3,5 milioni di dollari in criptovaluta attraverso un'operazione coordinata che prevedeva false identità di sviluppatori e sistemi di pagamento strutturati.
Le informazioni sono emerse dopo che un hacker non identificato ha compromesso il dispositivo di uno dei dipendenti, esponendo i dati di un server di pagamento interno collegato a quasi 390 account, insieme a registri di chat, dati di navigazione e documenti di identità falsificati utilizzati per ottenere un impiego.
Operazione di criptovalute nordcoreana
I dati raccolti mostrano che l'operazione generava circa 1 milione di dollari al mese e che gli individui utilizzavano credenziali false per ottenere ruoli in diversi progetti, facendo transitare i propri guadagni attraverso una piattaforma interna. ZachXBT ha rivelato che la comunicazione e il monitoraggio dei pagamenti venivano gestiti tramite una piattaforma nota come "luckyguys.site", che fungeva da hub interno dove i lavoratori registravano le transazioni e segnalavano i guadagni agli amministratori.
La piattaforma sembrava avere misure di sicurezza minime e molti utenti si affidavano a una password predefinita. Gli elenchi degli utenti includevano ruoli, posizioni e identificativi di gruppo simili a quelli noti delle strutture di lavoratori IT nordcoreane, compresi collegamenti a entità sanzionate dall'Office of Foreign Assets Control del Dipartimento del Tesoro statunitense, come Sobaeksu, Saenal e Songkwang.
Nel frattempo, le chat indicano che un account amministratore centrale era responsabile della conferma dei trasferimenti in entrata e della distribuzione delle credenziali di accesso a vari servizi finanziari. I pagamenti seguivano in genere uno schema preciso: i fondi ricevuti in criptovaluta da exchange o clienti venivano convertiti in valuta fiat e trasferiti tramite conti bancari cinesi utilizzando piattaforme di pagamento come Payoneer. Il tracciamento di questi flussi tramite blockchain ha rivelato collegamenti con portafogli precedentemente identificati come collegati alla Corea del Nord, inclusi indirizzi successivamente congelati da Tether alla fine del 2025.
I dati estratti dal dispositivo compromesso, associato a un utente che operava con il nome di "Jerry", hanno rivelato un uso estensivo di servizi VPN e la creazione di molteplici profili falsi per le candidature di lavoro. Le conversazioni interne facevano riferimento a preoccupazioni relative ai deepfake in fase di assunzione e a restrizioni sulla condivisione di informazioni esterne all'interno della rete. Ulteriori registri suggerivano che decine di dipendenti operavano simultaneamente all'interno dello stesso sistema di comunicazione.
Oltre alla generazione di reddito, i documenti hanno anche registrato discussioni relative al potenziale sfruttamento di progetti di criptovalute. In un caso, "Jerry" ha discusso con un altro collaboratore la possibilità di prendere di mira un progetto utilizzando un sistema proxy, sebbene non vi siano conferme che il tentativo sia stato effettivamente portato a termine.
Parallelamente, gli amministratori hanno distribuito materiale formativo che illustrava il reverse engineering e gli strumenti di debug come IDA Pro.
Sviluppatori nordcoreani nel settore DeFi
Proprio questa settimana, il ricercatore di sicurezza informatica Taylor Monahan ha affermato che da anni lavoratori del settore IT legati alla Corea del Nord operano nel settore delle criptovalute e hanno persino contribuito a importanti protocolli DeFi. Monahan ha spiegato che molti dei loro curriculum riflettevano una reale esperienza di sviluppo, anziché profili falsificati.
Tra i progetti citati figuravano SushiSwap, Yearn e THORChain. L'esperto di sicurezza ha inoltre aggiunto che questi soggetti hanno successivamente svolto un ruolo importante nel consentire attacchi su larga scala.
Inoltre, il gruppo di hacker Lazarus Group, affiliato alla Corea del Nord, è stato collegato ad alcuni degli attacchi informatici più importanti del settore, come la violazione del Ronin Bridge da 625 milioni di dollari nel 2022, l'attacco a WazirX da 235 milioni di dollari nel 2024 e il più recente furto di Bybit da 1,4 miliardi di dollari nel 2025.
L'articolo ZachXBT scopre un'operazione da 3,5 milioni di dollari condotta da falsi sviluppatori nordcoreani all'interno di aziende di criptovalute è apparso per la prima volta su CryptoPotato .