Editor’s note: The North Korean hackers have always been a significant threat to the cryptocurrency market. In previous years, victims and industry security professionals could only reverse-engineer the behavior patterns of North Korean hackers through related security incidents. However, yesterday, well-known blockchain investigator ZachXBT referenced an analysis by a white-hat hacker who reverse-hacked the North Korean hackers, revealing for the first time the "work" methods of North Korean hackers from a proactive perspective, which may have certain positive implications for the preemptive security defense of industry projects.
Berikut adalah isi lengkap dari ZachXBT, diterjemahkan oleh Odaily Planet Daily.
Seorang peretas anonim yang enggan mengungkapkan identitasnya baru-baru ini telah meretas perangkat seorang pekerja TI asal Korea Utara, yang mengungkapkan bagaimana tim teknis yang terdiri dari lima orang ini mengoperasikan lebih dari 30 identitas palsu untuk melakukan aktivitas. Tim ini tidak hanya memiliki dokumen identitas palsu yang dikeluarkan oleh pemerintah, tetapi juga menyusup ke berbagai proyek pengembangan melalui pembelian akun Upwork/LinkedIn.
Peneliti memperoleh data Google Drive mereka, profil browser Chrome, dan tangkapan layar perangkat. Data menunjukkan bahwa tim tersebut sangat bergantung pada alat-alat seri Google untuk mengoordinasikan jadwal kerja, pembagian tugas, dan manajemen anggaran, semua komunikasi dilakukan dalam bahasa Inggris.
Sebuah laporan mingguan dari tahun 2025 mengungkapkan pola kerja tim hacker tersebut serta kesulitan yang mereka hadapi selama periode itu, seperti ada anggota yang mengeluh "tidak dapat memahami tuntutan kerja, tidak tahu apa yang harus dilakukan", sementara di kolom solusi yang sesuai tertulis "berinvestasi dengan tulus, bekerja lebih keras"...
Rekaman rincian pengeluaran menunjukkan bahwa item pengeluaran mereka termasuk pembelian nomor jaminan sosial (SSN), transaksi akun Upwork dan LinkedIn, penyewaan nomor telepon, langganan layanan AI, penyewaan komputer, dan pengadaan layanan VPN / proxy, dan lain-lain.
Salah satu spreadsheet mencatat secara rinci jadwal dan skrip percakapan untuk menghadiri pertemuan dengan identitas palsu "Henry Zhang". Proses operasi menunjukkan bahwa pekerja IT Korea Utara ini akan terlebih dahulu membeli akun Upwork dan LinkedIn, menyewa perangkat komputer, dan kemudian menyelesaikan pekerjaan outsourcing melalui alat kontrol jarak jauh AnyDesk.
Salah satu alamat dompet yang mereka gunakan untuk mengirim dan menerima pembayaran adalah:
0x78e1a4781d184e7ce6a124dd96e765e2bea96f2c;
Alamat ini memiliki keterkaitan yang erat secara on-chain dengan peristiwa serangan protokol Favrr senilai 680.000 USD yang terjadi pada bulan Juni 2025, dan setelahnya dikonfirmasi bahwa CTO-nya serta pengembang lainnya adalah pekerja IT Korea Utara yang menggunakan dokumen palsu. Melalui alamat ini, juga diidentifikasi personel IT Korea Utara dari proyek penetrasi lainnya.
Tim menemukan bukti kunci berikut dalam catatan pencarian dan riwayat browser.
Mungkin ada yang bertanya "Bagaimana cara memastikan mereka berasal dari Korea Utara"? Selain semua dokumen penipuan yang dijelaskan di atas, riwayat pencarian mereka juga menunjukkan bahwa mereka sering menggunakan Google Translate dan menggunakan IP Rusia untuk menerjemahkan ke dalam bahasa Korea.
Saat ini, tantangan utama bagi perusahaan dalam mencegah pekerja TI dari Korea Utara terfokus pada hal-hal berikut:
Kurangnya kolaborasi sistemik: kurangnya mekanisme berbagi informasi dan kerjasama yang efektif antara penyedia layanan platform dan perusahaan swasta;
Pihak pemberi kerja lalai: Tim penggunaan sering menunjukkan sikap defensif setelah menerima peringatan risiko, bahkan menolak untuk bekerja sama dalam penyelidikan;
Keunggulan jumlah yang berdampak: Meskipun metode teknologinya tidak rumit, namun dengan basis pencari kerja yang besar terus menerus menyusup ke pasar kerja global;
Saluran konversi dana: Platform pembayaran seperti Payoneer sering digunakan untuk menukar pendapatan fiat yang diperoleh dari pekerjaan pengembangan menjadi cryptocurrency;
Saya sudah beberapa kali memperkenalkan indikator yang perlu diperhatikan, bagi yang berminat bisa melihat kembali tweet saya yang lalu, di sini saya tidak akan mengulangnya.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
ZachXBT: Setelah membalikkan perangkat hacker Korea Utara, saya memahami pola "kerja" mereka.
Penulis: ZachXBT
Diterjemahkan oleh: Azuma, Planet Daily
Editor’s note: The North Korean hackers have always been a significant threat to the cryptocurrency market. In previous years, victims and industry security professionals could only reverse-engineer the behavior patterns of North Korean hackers through related security incidents. However, yesterday, well-known blockchain investigator ZachXBT referenced an analysis by a white-hat hacker who reverse-hacked the North Korean hackers, revealing for the first time the "work" methods of North Korean hackers from a proactive perspective, which may have certain positive implications for the preemptive security defense of industry projects.
Berikut adalah isi lengkap dari ZachXBT, diterjemahkan oleh Odaily Planet Daily.
Seorang peretas anonim yang enggan mengungkapkan identitasnya baru-baru ini telah meretas perangkat seorang pekerja TI asal Korea Utara, yang mengungkapkan bagaimana tim teknis yang terdiri dari lima orang ini mengoperasikan lebih dari 30 identitas palsu untuk melakukan aktivitas. Tim ini tidak hanya memiliki dokumen identitas palsu yang dikeluarkan oleh pemerintah, tetapi juga menyusup ke berbagai proyek pengembangan melalui pembelian akun Upwork/LinkedIn.
Peneliti memperoleh data Google Drive mereka, profil browser Chrome, dan tangkapan layar perangkat. Data menunjukkan bahwa tim tersebut sangat bergantung pada alat-alat seri Google untuk mengoordinasikan jadwal kerja, pembagian tugas, dan manajemen anggaran, semua komunikasi dilakukan dalam bahasa Inggris.
Sebuah laporan mingguan dari tahun 2025 mengungkapkan pola kerja tim hacker tersebut serta kesulitan yang mereka hadapi selama periode itu, seperti ada anggota yang mengeluh "tidak dapat memahami tuntutan kerja, tidak tahu apa yang harus dilakukan", sementara di kolom solusi yang sesuai tertulis "berinvestasi dengan tulus, bekerja lebih keras"...
Rekaman rincian pengeluaran menunjukkan bahwa item pengeluaran mereka termasuk pembelian nomor jaminan sosial (SSN), transaksi akun Upwork dan LinkedIn, penyewaan nomor telepon, langganan layanan AI, penyewaan komputer, dan pengadaan layanan VPN / proxy, dan lain-lain.
Salah satu spreadsheet mencatat secara rinci jadwal dan skrip percakapan untuk menghadiri pertemuan dengan identitas palsu "Henry Zhang". Proses operasi menunjukkan bahwa pekerja IT Korea Utara ini akan terlebih dahulu membeli akun Upwork dan LinkedIn, menyewa perangkat komputer, dan kemudian menyelesaikan pekerjaan outsourcing melalui alat kontrol jarak jauh AnyDesk.
Salah satu alamat dompet yang mereka gunakan untuk mengirim dan menerima pembayaran adalah:
0x78e1a4781d184e7ce6a124dd96e765e2bea96f2c;
Alamat ini memiliki keterkaitan yang erat secara on-chain dengan peristiwa serangan protokol Favrr senilai 680.000 USD yang terjadi pada bulan Juni 2025, dan setelahnya dikonfirmasi bahwa CTO-nya serta pengembang lainnya adalah pekerja IT Korea Utara yang menggunakan dokumen palsu. Melalui alamat ini, juga diidentifikasi personel IT Korea Utara dari proyek penetrasi lainnya.
Tim menemukan bukti kunci berikut dalam catatan pencarian dan riwayat browser.
Mungkin ada yang bertanya "Bagaimana cara memastikan mereka berasal dari Korea Utara"? Selain semua dokumen penipuan yang dijelaskan di atas, riwayat pencarian mereka juga menunjukkan bahwa mereka sering menggunakan Google Translate dan menggunakan IP Rusia untuk menerjemahkan ke dalam bahasa Korea.
Saat ini, tantangan utama bagi perusahaan dalam mencegah pekerja TI dari Korea Utara terfokus pada hal-hal berikut:
Saya sudah beberapa kali memperkenalkan indikator yang perlu diperhatikan, bagi yang berminat bisa melihat kembali tweet saya yang lalu, di sini saya tidak akan mengulangnya.