文章总结： 文档分析朝鲜内部支付服务器数据泄露事件，揭露涉及390个账户的诈骗网络通过伪造身份和加密货币交易月入百万美元。关键发现包括IPMSG聊天记录、弱密码漏洞、受制裁公司参与及Tron支付地址被冻结。可操作建议包含追踪支付模式和分析组织结构图以识别威胁行为者。 综合评分： 83 文章分类： 威胁情报,数据泄露,恶意软件,漏洞分析,安全运营

【译】疑似朝鲜内部支付服务器数据泄露深度分析

原创

Pwn1 Pwn1

漏洞集萃

2026年4月9日 16:52 山东

免责声明 本公众号所发布的文章内容仅供学习与交流使用，禁止用于任何非法用途。

在测试一个私有漏洞赏金计划时，我遇到了一个

1/ 最近，一位匿名消息人士分享了从朝鲜内部支付服务器泄露的数据，其中包含 390 个账户、聊天记录和加密货币交易。

我花了很长时间仔细查阅了所有内容，但这些内容从未公开发布过。它揭露了一个错综复杂的诈骗计划，该计划每月涉案金额高达约 100 万美元，涉及欺诈性身份、伪造法律文件以及加密货币兑法定货币的兑换。

尽情享受这些发现吧！

2/ 一名朝鲜民主主义人民共和国的 IT 工作人员的设备遭到信息窃取程序入侵。被窃取的数据包括 IPMSG 聊天记录、虚假身份信息和浏览器历史记录。

深入查阅 IPMSg 日志后发现，他们曾讨论过这个网站：

luckyguys[.]site

一个内部支付汇款平台，本质上是一个类似 Discord 的即时通讯工具，朝鲜 IT 工作人员用它来向他们的上级汇报付款情况。

3/ 该网站的默认密码是 123456，十个用户一直未曾更改过该密码。

用户列表包括角色、韩文姓名、城市和与朝鲜民主主义人民共和国 IT 工作人员操作一致的编码组名称。出现的三家公司目前均受到美国财政部外国资产控制办公室 (OFAC) 的制裁：Sobaeksu、Saenal 和 Songkwang。

4/ 以下是 WebMsg 用户“Rascal”及其与 PC-1234 的私信，其中详细说明了 2025 年 12 月至 2026 年 4 月期间的付款转账和使用欺诈身份的情况。

所有付款均通过服务器管理员帐户 PC-1234 进行处理和确认。账单和货物的收件地址均位于香港，但其真实性尚需进一步核实。

5/ 自 2025 年 11 月下旬以来，已通过支付钱包地址收到超过 350 万美元。不同用户的汇款模式保持一致：

用户可以通过 Payoneer 等平台，将加密货币从交易所或服务商转移至中国银行账户，或将其兑换成法定货币。PC-1234 随后确认收到并提供账户凭证，具体凭证因用户而异，可能是加密货币交易所或金融科技支付平台。

6/ 我利用完整的数据集绘制出了该网络的完整组织结构，包括每个用户和组的支付总额。

您可以点击此处访问交互式组织结构图：

http://investigation.io/dprk-itw-breach

密码：123456

注意：数据范围为 2025 年 12 月至 2026 年 2 月。支付总额来自抓取的交易数据，可能略有不同。

7/ 追踪内部支付地址，发现链上与已知集群中的几名朝鲜民主主义人民共和国 IT 工作者有关联。Tron 支付地址于 2025 年 12 月被 Tether 冻结。

付款地址：

0xb51DA55047Fd899aD08Ab5CE349823664d311998
TSxYS91qoXrJUoMhWaQfMz9p2b7FTw57L3

8/Jerry 被入侵的设备显示使用了 Astrill VPN 和各种虚假身份申请工作。

内部 Slack 群组显示，“Nami”分享了一篇关于朝鲜 IT 行业求职者深度伪造简历的博客文章。另一位用户询问是否是自己分享的，而第三位用户则指出他们无权分享外部链接。另一张截图显示 33 名朝鲜 IT 工作人员通过 IPMsg 在同一网络上进行通信。

9/Jerry 积极与另一名朝鲜 IT 工作人员讨论通过尼日利亚代理人窃取项目资金，目标是 GalaChain 的一款游戏 Arcano。

然而，目前尚不清楚该袭击后来是否真的发生。

10/ 管理员从 2025 年 11 月到 2026 年 2 月向群组发送了 43 个 Hex-Rays/IDA Pro 培训模块示例。培训内容涵盖反汇编、反编译、本地和远程调试以及各种网络安全主题。

11 月 20 日发送的链接明确指出：

使用 ida 调试器解包一个敌对的 pe 可执行文件

11/ 与 AppleJeus 和 TraderTraitor 等组织相比，朝鲜 IT 工作者的这群活动较为不成熟，而 AppleJeus 和 TraderTraitor 等组织运作效率更高，对行业构成了最大的风险。

我之前估计朝鲜的 IT 从业人员每月创造数百万美元的收入，这里的数据也支持这一估计。

一个不太受欢迎的观点：威胁行为者没有将目标对准朝鲜的低级组织，这无疑是错失良机。这样做的风险很低，竞争也很小，而且这些目标可以说是罪有应得。

我计划继续扩建 http://investigation.io 以及未来的研究成果。特别感谢 @Domain 帮助我购买了两个优质域名。

更新：在我发帖后，朝鲜内部支付网站已被关闭。但是所有数据都已提前存档。

来源:

aHR0cHM6Ly94LmNvbS96YWNoeGJ0L3N0YXR1cy8yMDQxODczNTI1NTAyNTcwOTE5

觉得本文内容对您有启发或帮助？ 点个关注➕，获取更多深度分析与前沿资讯！

👉 往期精选

逻辑漏洞：邮箱注册 tips #11

一种利用 HTTP 重定向循环的新型 SSRF 技术

个人资料/配置页检查清单

【译】入侵谷歌支持系统：泄露数百万条客户记录（赏金 1.4 万美元）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：漏洞集萃 Pwn1 Pwn1《【译】疑似朝鲜内部支付服务器数据泄露深度分析》