新聞 
幣種資訊 
關於我們 
北韓支持的「*加密貨幣*」網路滲透再度曝光。知名鏈上分析師 ZachXBT(自稱「鏈上偵探」)近期公開一批內部結算伺服器、聊天紀錄與交易資料,顯示疑似北韓政權旗下的 IT 團隊與駭客,已深度滲入多個「*去中心化金融(DeFi)*」專案與跨境支付網路。
根據 ZachXBT 於 4 日(當地時間)在社群平台 X 發表的調查內容,他取得一套與北韓相關的內部結算系統資料,其中包含超過 390 個帳號、私訊對話與付款紀錄。這批資料由匿名舉報者提供,推測是受感染裝置遭植入「資訊竊取型惡意程式」後外流。惡意程式疑似蒐集了 IP 通訊紀錄、虛假身分資訊與瀏覽器使用軌跡等敏感資料,進一步還原北韓 IT 團隊的海外接案與洗錢模式。
ZachXBT 公開的一個關鍵網站為「luckyguys.site」,被懷疑是內部用來管理收入分配與轉帳的結算樞紐。從外流資料來看,系統預設登入密碼竟是「123456」,在資料被導出時仍有 10 個帳號使用相同密碼,顯示資安管理極為鬆散。帳號清單中標註了成員職務、韓式姓名、所在地與內部群組代碼,還出現美國財政部海外資產控制辦公室(OFAC)早已制裁的「小白樹」、「새날」、「송광」等相關資訊。
聊天紀錄中,一個暱稱「Rascal」的帳號與系統管理員「PC-1234」之間的私訊,詳列自 2025 年 12 月到 2026 年 4 月的付款明細及虛假身分使用情況,顯示所有款項最終都經由「PC-1234」統一確認並發放。此一結構呈現出高度中心化的內部清算流程。
在資金流向部分,ZachXBT 追蹤到 2025 年 11 月底以來,至少有 350 萬美元流入這套結算錢包。資金流動模式多元,有部分款項直接從交易所或線上服務以「*加密貨幣*」形式匯入,另有部分透過中國境內銀行帳戶先兌換「法幣」,再進一步洗錢與分配。調查中也發現,類似 Payoneer 等跨境金融科技平台疑似被用於中轉資金與收款。
整體流程顯示,在資金到帳後,「PC-1234」會逐一核對入金,接著向不同成員提供各自專用的「*加密貨幣*」交易所帳號或金融科技應用程式登入資訊,用以提領與兌現。ZachXBT 表示,順著這些內部錢包往外追查,已能明確連結到先前被歸類為「北韓 IT 勞工集群」的錢包群。其中一個基於 Tron(TRX) 的錢包,早在 2025 年 12 月就被泰達公司(Tether)凍結,證實主流穩定幣發行方已開始針對敏感地址採取主動風險控管。
外流資料也提供更多關於具體操作手法的線索。疑似遭惡意程式感染裝置的主人「Jerry」,被發現使用 Astrill VPN 並以多個假身分頻繁投遞海外求職申請。在其內部 Slack 工作空間中,成員曾轉貼與北韓 IT 人員相關的「深偽(deepfake)」求職案例,並彼此開玩笑詢問「這是不是在說我們」,透露其對外行動與媒體報導之間的高度重疊。
評論:這類行為模式與過去公開的北韓 IT 勞工案例高度一致,即透過偽造身分與假履歷,遠程承接國際專案,再將報酬導入受控的「*加密貨幣*」與法幣通道。
ZachXBT 認為,相較於「AppleJeus」或「TraderTraitor」等已被安全社群熟知的精密駭客組織,這次曝光的團隊在技術與營運管理上都顯得較為粗糙,但從每月仍可累積數百萬美元收入的規模來看,「北韓 IT 勞工與駭客網路」對全球「*加密貨幣*」生態造成的灰色資金壓力,依舊不容小覷。他補充,自調查成果公開後,相關內部結算入口網站已被關閉或轉入離線狀態,但所有關鍵數據都已被完整備份與存證。
此事件再度凸顯「*加密貨幣*」及「*去中心化金融(DeFi)*」在制裁規避與影子金融中的敏感角色。業界觀察指出,中央化交易所(CEX)與場外交易(OTC)櫃檯未來在「制裁名單篩查」、「來源資金盡職調查」等合規環節的成本勢必持續上升,針對高風險司法管轄區的「*穩定幣*」資金流也可能遭遇更頻繁的凍結與阻斷。
評論:在北韓相關「*加密貨幣駭客*」案例層出不窮的情況下,監管機構很可能進一步收緊對跨境資金移動、隱私協議工具以及非託管錢包的監管框架。例如,更嚴格的地址標記、跨國情報共享與對「高風險對手方」的統一標準,都可能在未來數年推動出台,為整個「*加密貨幣*」產業帶來新一輪合規壓力與商業模式調整。
留言 0