По словам ZachXBT, в схеме участвуют 390 пользователей. Средства перемещаются с помощью криптовалютных кошельков и потом конвертируются в фиатные деньги. С конца 2025 года через связанные с этой сетью отслеживаемые адреса прошло более $3,5 млн в криптовалютах.
В центре схемы — внутренняя платформа, описанная как хаб для денежных переводов. Здесь сотрудники отчитываются о доходах, делятся опытом удачных краж и получают инструкции, сообщил анонимный криптодетектив. Он предположил, что хаб выполняет две функции: служит инструментом для обмена сообщениями и пунктом координации платежей.
Согласно ZachXBT, украденная криптовалюта обычно поступает с бирж или сервисных платформ, а затем выводится на подставные кошельки. В ряде случаев криптовалюта конвертируется в фиат через посредников, в том числе через китайские банковские счета и платежные системы.
Подтверждением переводов и распределением учетных данных для дальнейшего перемещения средств занимается специальный административный аккаунт. Отдельные кошельки в схеме привели блокчейн-исследователя к адресам, ранее ассоциировавшимся с активностью северокорейских хакерских группировок. Как минимум один кошелек был заморожен компанией Tether, эмитентом стейблкоинов USDT.
В переписках пользователей фигурируют корейские имена, географические указания в КНДР и закодированные идентификаторы групп, рассказал ZachXBT. В переписках упоминаются три попавшие под санкции США северокорейские организации, Sobaeksu, Saenal и Songkwang: их обвинили в работе на правительство КНДР.
Участники схемы создают и используют фальшивые личности для получения удаленной работы, установил ZachXBT, проанализировав историю браузеров, переписку в чатах и внутренние заметки. Участники скоординированно откликались на вакансии, используя поддельные учетные данные и дипфейки, а позже делились информацией друг с другом.
Сама сеть, помимо функции отмывания криптовалют, используется и как платформа для обучения мошенников. Внутри нее распространяются учебные материалы по разработке и отладке вредоносных программ, написал ZachXBT.
В то же время, по мнению блокчейн-детектива, сеть по масштабам не дотягивает до связанных с КНДР более продвинутых группировок. Тем не менее, она работает скоординированно и активно, а через нее стабильно проходят большие объемы цифровых активов, заявил криптоисследователь. В качестве аргумента, подтверждающего «непрофессиональность сети», ZachXBT привел довод: некоторые участники не позаботились о безопасности своей учетной записи — десять аккаунтов на платформе-хабе использовали стандартный пароль, назначаемый по умолчанию — «1234».
Ранее специалист по безопасности MetaMask Тейлор Монахан (Taylor Monahan) заявила, что северокорейские специалисты внедряются в криптокомпании и проекты децентрализованных финансов (DeFi) уже как минимум семь лет, многие — с целью взломать платформы.
