北韓 IT 詐騙網路曝光!140 人團隊月入百萬美元,內部密碼竟是「123456」
鏈上偵探 ZachXBT 近日披露遭入侵的北韓內部伺服器資料,揭露一個每月創造 100 萬美元非法加密貨幣收入的詐騙組織,成員以假身份滲透科技業與各大加密專案,並將資金透過中國銀行帳戶洗白。
1/ Recently an unnamed source shared data exfiltrated from an internal North Korean payment server containing 390 accounts, chat logs, crypto transactions.
I spent long hours going through all of it, none of which has ever been publicly released.
It revealed an intricate… pic.twitter.com/aTybOrwMHq
— ZachXBT (@zachxbt) April 8, 2026
匿名駭客反滲透,內部資料首度曝光
區塊鏈調查員 ZachXBT 昨日在 X 發布系列貼文,公開一批來自北韓內部伺服器的機密資料。這批資料由一名不具名的反駭客 (counter-hacker) 取得,對方成功入侵了一名北韓 IT 人員的設備,並將所獲資料交予 ZachXBT 進行分析與公開。
洩露的資料內容涵蓋 390 個帳號、IPMsg 即時通訊聊天紀錄、加密貨幣交易明細,以及多份偽造身份文件,讓外界首次得以窺見這個長期隱匿於遠端工作市場背後的詐騙網路。
廣告 - 內文未完請往下捲動
每月進帳百萬美元,排行榜記錄成員貢獻
根據洩露的資料,核心人物「Jerry」所帶領的 140 人團隊,自 2025 年 11 月底至案發前,累計透過加密貨幣收款錢包處理超過 350 萬美元,平均每月進帳約 100 萬美元。
內部系統甚至設有排行榜,詳細記錄每名成員自 2025 年 12 月 8 日起為組織帶入的加密貨幣金額,並附有區塊鏈瀏覽器的交易明細連結。
資金流轉方式有其固定模式:成員從加密貨幣交易所提領款項後,透過 Payoneer 等線上支付平台將加密貨幣兌換為法定貨幣,最終匯入中國銀行帳戶。ZachXBT 進一步追蹤相關錢包地址,發現部分地址與 Tether 於 2025 年 12 月列入黑名單的已知北韓錢包存在關聯。
能偽造假護照與假地址,密碼竟是「123456」?
此次曝光同時揭露了這個組織的嚴重失誤。成員在內部平台 luckyguys.site 上協調收款事宜,然而該平台的預設密碼竟是「123456」,且至少有 10 名用戶從未更改。
平台用戶名單中包含韓文姓名、所在城市與組織代號,更出現三家目前受美國財政部海外資產控制辦公室 (OFAC) 制裁的企業,包括 Sobaeksu、Saenal 與 Songkwang。
在身份偽造方面,「Jerry」使用 VPN 存取 Gmail,並在求職平台 Indeed 上投遞全端工程師與軟體工程師職缺;另一名成員「Rascal」則持有以香港假地址製作的假帳單,並分享了一本來源不明的愛爾蘭護照照片。
北韓加密犯罪持續擴張,威脅遠不止於此
ZachXBT 警告,這不過是北韓加密犯罪體系中的冰山一角,AppleJeus 與 TraderTraitor 等菁英駭客組織的運作效率遠高於此,威脅也更加嚴峻。
根據區塊鏈分析公司 Chainalysis 的數據,2025 年北韓相關團體共竊取至少 20.2 億美元的加密貨幣,占全球被盜總額逾六成, 2009 年以來已盜取超過 67.5 億美元。具體包括 Bybit 交易所 14 億美元駭客事件、Ronin 跨鏈橋 6.25 億美元攻擊、 Drift Protocol 2.8 億美元事件等。
此次 ZachXBT 的調查再度揭示,即便是組織內技術層級較低的成員,也已具備滲透遠端就業市場、偽造身份、並將非法所得洗白的完整能力,加密產業與科技業的雇主風險不容忽視。
風險提示
加密貨幣投資具有高度風險,其價格可能波動劇烈,您可能損失全部本金。請謹慎評估風險。
