L'esperto di criptovalute ZachXBT ha scoperto un server di pagamento interno nordcoreano collegato a oltre 390 account, registri di chat e cronologie delle transazioni.
La saga della cripto-infiltrazione nella RPDC, parte III (solo da questa settimana)
Continua la saga degli agenti segreti nordcoreani nel settore delle criptovalute. La rete nascosta di hacker legati alla Corea del Nord è stata gradualmente smascherata sul social network X negli ultimi giorni, in seguito all'attribuzione dell'attacco da 285 milioni di dollari subito da Drift Protocol il 1° aprile a UNC4736 , un gruppo di hacker sponsorizzato dallo stato nordcoreano.
Domenica , il ricercatore di sicurezza Taylor Monahan ha affermato che alcuni informatici nordcoreani avrebbero lavorato in segreto all'interno di oltre 40 progetti DeFi per circa sette anni. Sempre domenica e lunedì , diversi esponenti del settore delle criptovalute hanno condiviso video e testimonianze di informatici nordcoreani che non avrebbero superato il "test di Kim Jong-un".
Ora toccava a ZachXBT pubblicare le sue scoperte, cosa che ha fatto ieri in un thread sul social network X. I dati esfiltrati, che non erano mai stati resi pubblici prima, gli sono stati condivisi da una fonte anonima.
L'estrazione dei dati è stata possibile perché il dispositivo di uno di questi informatici, proveniente dalla Repubblica Popolare Democratica di Corea (RPDC), era infettato da un infostealer (un malware progettato specificamente per rubare informazioni sensibili). Il malware ha esposto i registri delle chat di IPMsg, identità false e attività di navigazione dettagliate.
2/ Il dispositivo di un informatico nordcoreano è stato compromesso da un programma di furto di informazioni. I dati estratti includevano registri delle chat di IPMsg, false identità e cronologia del browser.
Esaminando i log di IPMsg è emerso che si discuteva di questo sito: luckyguys[.]site
Una piattaforma interna per il versamento dei pagamenti… pic.twitter.com/0rA1CxSmZx
— ZachXBT (@zachxbt) 8 aprile 2026
Il thread descrive come presunti agenti informatici nordcoreani, spesso fingendosi freelance all'estero, vengano pagati in criptovalute e i fondi vengano poi reindirizzati verso canali legati al regime.
Analisi dettagliata dei risultati
Il sito web emerso dall'estrazione dei dati si chiamava luckyguys.site. Secondo l'esperto di criptovalute, sembrava funzionare come una piattaforma interna per i pagamenti in criptovalute: una piattaforma di messaggistica simile a Discord dove gli operatori IT nordcoreani segnalavano e riconciliavano i loro pagamenti in criptovalute con i superiori.
Che ci crediate o no, la password di accesso predefinita del sito era impostata su "123456". Al momento dell'estrazione dei dati, dieci account la utilizzavano ancora senza modifiche.
L'elenco degli account mostrava ruoli, nomi coreani, sedi e codici di gruppo interni che corrispondono alle note strutture dei lavoratori IT nordcoreani. ZachXBT ha evidenziato che tre delle società citate nei dati, Sobaeksu, Saenal e Songkwang, sono già soggette a sanzioni OFAC.
L'investigatore di criptovalute ha condiviso un video che mostra messaggi diretti tra un account WebMsg, "Rascal", e PC-1234 (l'account amministratore del server) che illustrano trasferimenti di pagamento e l'utilizzo di false identità da dicembre 2025 ad aprile 2026. Ogni pagamento in queste chat viene instradato e finalizzato tramite PC-1234. I registri fanno anche riferimento a indirizzi di Hong Kong per la fatturazione e la consegna di merci, sebbene la veridicità di tali informazioni debba ancora essere confermata.
4/ Ecco uno degli utenti di WebMsg, "Rascal", e i suoi messaggi diretti con il documento PC-1234 che dettaglia i trasferimenti di pagamento e l'uso di identità fraudolente da dicembre 2025 ad aprile 2026.
Tutti i pagamenti vengono elaborati e confermati tramite l'account amministratore del server: PC-1234.
Indirizzi a Hong Kong… pic.twitter.com/akyjmTbL5J
— ZachXBT (@zachxbt) 8 aprile 2026
I risultati diventano sempre più interessanti man mano che la discussione procede. Dalla fine di novembre 2025, oltre 3,5 milioni di dollari sono confluiti nei portafogli di pagamento. Lo stesso schema di rimessa si ripete costantemente: gli utenti inviano criptovalute direttamente da un exchange o da un servizio, oppure le convertono in valuta fiat tramite conti bancari cinesi utilizzando piattaforme come Payoneer.
Dopodiché, il PC‑1234 conferma la ricezione dei fondi e fornisce le credenziali di accesso, che possono essere relative a diversi exchange di criptovalute o app di pagamento fintech, a seconda dell'utente specifico.
5/ Dalla fine di novembre 2025 sono stati ricevuti oltre 3,5 milioni di dollari attraverso gli indirizzi dei portafogli di pagamento.
Il modello di rimessa è risultato coerente per tutti gli utenti:
Gli utenti trasferiscono criptovalute provenienti da un exchange o da un servizio, oppure le convertono in valuta fiat tramite conti bancari cinesi attraverso piattaforme come Payoneer.… pic.twitter.com/IhbqW3eKKI
— ZachXBT (@zachxbt) 8 aprile 2026
Una ricostruzione della gerarchia della rete
L'esperto di crittografia ha ricostruito l'intera gerarchia organizzativa della rete utilizzando l'intero set di dati e ha creato una versione interattiva di questo organigramma.
Quando l'investigatore ha seguito i portafogli di pagamento interni sulla blockchain, ha trovato collegamenti con diversi gruppi di lavoratori IT nordcoreani già identificati. Il portafoglio basato su Tron è stato bloccato da Tether nel dicembre 2025 .
Altre scoperte interessanti mostrano che il dispositivo compromesso, appartenente a una persona di nome "Jerry", utilizzava ancora Astrill VPN, insieme a diverse identità false usate per candidarsi a offerte di lavoro. All'interno di uno spazio di lavoro interno su Slack, un utente di nome "Nami" ha condiviso un post di un blog riguardante un deepfake di un candidato a un posto di lavoro collegato a lavoratori IT della RPDC. Un collega ha chiesto se la storia si riferisse a loro, mentre un altro ha ricordato al gruppo che non era consentito pubblicare link esterni.
8/ Il dispositivo compromesso di Jerry mostra l'utilizzo di Astrill VPN e diverse identità false utilizzate per candidarsi a offerte di lavoro.
Una chat interna di Slack ha mostrato "Nami" che condivideva un post di un blog riguardante un deepfake di un candidato a un posto di lavoro nel settore IT nella RPDC. Un secondo utente ha chiesto se si trattasse di lui, mentre un terzo ha fatto notare che non gli è permesso… pic.twitter.com/7ZdGbX91WT
— ZachXBT (@zachxbt) 8 aprile 2026
Jerry si scambiò messaggi con un altro informatico nordcoreano riguardo a un piano per rubare dati da un progetto, utilizzando un proxy nigeriano per colpire Arcano, un gioco di GalaChain. Non è chiaro se l'attacco sia mai stato effettivamente portato a termine.
9/ Jerry ha discusso attivamente con un altro informatico nordcoreano, tramite un intermediario nigeriano, di come rubare da un progetto, prendendo di mira Arcano, un gioco di GalaChain.
Tuttavia, non è ancora chiaro se l'attacco si sia poi concretizzato. pic.twitter.com/p9QQLHbB91
— ZachXBT (@zachxbt) 8 aprile 2026
L'amministratore ha inoltre distribuito al gruppo 43 materiali di formazione su Hex-Rays/IDA Pro tra novembre 2025 e febbraio 2026. Queste sessioni si concentravano su disassemblaggio, decompilazione, debug sia locale che remoto e una serie di tecniche di sicurezza informatica. Un link condiviso il 20 novembre aveva esplicitamente il titolo: "utilizzo-di-ida-debugger-per-estrarre-un-eseguibile-pe-ostile".
Considerazioni finali
ZachXBT ha concluso che questo gruppo di lavoratori IT nordcoreani appare relativamente poco sofisticato rispetto a realtà come AppleJeus e TraderTraitor, che gestiscono operazioni molto più rigorose e rappresentano una minaccia sistemica ben maggiore per il settore delle criptovalute. La sua precedente stima, secondo cui i lavoratori IT nordcoreani guadagnano collettivamente diversi milioni di dollari al mese, è confermata da questi dati.
Oggi, l'investigatore ha pubblicato un aggiornamento in cui spiega che il portale interno per i pagamenti della RPDC è stato disattivato in seguito alla pubblicazione delle sue scoperte. Tutti i dati erano stati raccolti e archiviati in precedenza.
Aggiornamento: Il sito interno per i pagamenti della RPDC è stato disattivato dopo la pubblicazione del mio post.
Tuttavia, tutti i dati sono stati archiviati in anticipo. pic.twitter.com/9cRdopal5g
— ZachXBT (@zachxbt) 9 aprile 2026
Le criptovalute sono ormai profondamente radicate nelle economie sommerse geopolitiche. La trasparenza on-chain è un'arma a doppio taglio, a vantaggio sia degli utenti che degli avversari.
Non sarebbe sorprendente se i mercati iniziassero a prezzare costi di conformità più elevati per gli exchange centralizzati (CEX) e i desk OTC, o se si verificassero maggiori ostacoli ai flussi di stablecoin nelle regioni soggette a sanzioni. La vicenda nordcoreana aumenta sicuramente la probabilità di un'applicazione più rigorosa delle normative contro i flussi transfrontalieri, gli strumenti per la tutela della privacy e le piattaforme ad alto rischio.
Immagine di copertina da Perplexity. Grafico BTCUSDT da Tradingview.