اختراق شبكة تقنية المعلومات لكوريا الشمالية يكشف عن مخطط احتيال بقيمة مليون دولار شهرياً

كشف تحقيق حديث أجراه محلل البلوك تشين “زاك إكس بي تي” عن خرق داخلي كبير مرتبط بعمال تكنولوجيا المعلومات الكوريين الشماليين. كشفت البيانات المسربة عن شبكة تضم 390 حسابًا، وسجلات دردشة، ومعاملات بالعملات الرقمية.

كيف تعمل الشبكة؟

تكشف النتائج عن نظام منسق كان يعالج حوالي مليون دولار شهريًا من خلال الهويات الوهمية والخداع المالي. وبالتالي، يوفر هذا الاختراق نظرة نادرة على كيفية عمل هذه العمليات خلف الكواليس.

وأفاد زاك إكس بي تي أن مصدرًا مجهولًا قدم البيانات بعد اختراق جهاز مرتبط بعامل تكنولوجيا معلومات كوري شمالي. جاءت الإصابة من برنامج ضار لسرقة المعلومات، والذي استخرج سجلات دردشة “آي بي ميسنجر”، وسجل تصفح الإنترنت، وسجلات الهوية.

كما كشفت السجلات عن منصة تسمى luckyguys[.]site، والتي عملت كمركز اتصال داخلي. عمل هذا النظام مثل خدمة مراسلة خاصة للإبلاغ عن المدفوعات وتنسيق النشاطات.

بنية الدفع والتدفق التشغيلي

تظهر البيانات خطًا منظمًا للمدفوعات يربط تدفقات العملات الرقمية بتحويلها إلى عملات تقليدية. قام المستخدمون بتحويل الأموال من منصات التداول أو تحويل الأصول من خلال حسابات بنكية صينية ومنصات تكنولوجيا مالية مثل “بايونير”. وبالتالي، حافظت الشبكة على سيولة ثابتة عبر قنوات متعددة.

من الملفت أن الخادم الداخلي استخدم كلمة مرور افتراضية ضعيفة، وهي 123456، عبر عدة حسابات. كشف هذا الإهمال عن فجوات أمنية خطيرة داخل النظام.

تضمنت المنصة أدوار المستخدمين، وأسماء كورية، وبيانات الموقع، والتي تتوافق مع الهياكل المعروفة لعمال تكنولوجيا المعلومات الكوريين الشماليين. علاقة على ذلك، ظهرت ثلاث شركات مرتبطة بالشبكة على قوائم عقوبات “أوفاك”، بما في ذلك شركات “سوبيكسو” و”سينال” و”سونغكوانغ”.

التعقيدات التشغيلية وأنشطة التدريب

حدد زاك إكس بي تي أكثر من 3.5 مليون دولار من المعاملات تتدفق إلى عناوين محافظ رقمية مرتبطة منذ أواخر نوفمبر 2025. تضمن النمط المتسق تأكيدًا مركزيًا من قبل حساب مشرف يحمل التصنيف PC-1234. كان هذا الحساب يتحقق من المدفوعات ويوزع بيانات الدخول لمنصات التداول والتكنولوجيا المالية.

كما تم تجميد محفظة “ترون” واحدة مرتبطة بالعملية من قبل “تيثر” في ديسمبر 2025. سلط هذا الإجراء الضوء على زيادة ضغط الإنفاذ على الأنشطة غير المشروعة بالعملات الرقمية المرتبطة بمجموعات مدعومة من الدول.

كشف الاختراق أيضًا عن مناقشات داخلية ومواد تدريبية. أظهرت قناة “سلاك” داخلية 33 عاملاً في تكنولوجيا المعلومات الكوريين الشماليين يتواصلون في وقت واحد عبر “آي بي ميسنجر”. علاقة على ذلك، وزع المشرفون 43 وحدة تدريبية على أدوات مثل “IDA Pro” و”Hex-Rays”.

غطت هذه المواد تقنيات الهندسة العكسية، وتصحيح الأخطاء، واستغلال البرمجيات. وبالتالي، أظهرت المجموعة تدريبًا منظمًا على الرغم من محدودية التطور مقارنة بمجموعات متقدمة مثل “AppleJeus” أو “TraderTraitor”. ومع ذلك، لا تزال نطاق العمليات يدر تدفقات إيرادات كبيرة.

كما أشارت السجلات المسربة إلى محاولات استخدام هويات مزيفة وتطبيقات “ديب فيك” للتسلل إلى الوظائف. بالإضافة إلى ذلك، غطت بعض المحادثات استهداف منصات الألعاب والخدمات المالية.

الأسئلة الشائعة

ما الذي كشفه التحقيق عن العملات الرقمية وكوريا الشمالية؟

كشف تحقيق محلل البلوك تشين عن شبكة كورية شمالية تستخدم حسابات وهمية لتحويل حوالي مليون دولار شهريًا من خلال العملات الرقمية وتحويلها إلى أموال تقليدية.

كيف تم اكتشاف هذه الشبكة؟

تم اكتشاف الشبكة بعد اختراق جهاز عامل تكنولوجيا معلومات كوري شمالي، مما أدى إلى تسريب سجلات دردشة وبيانات معاملات بالعملات الرقمية.

ما هي المخاطر التي توضحها هذه الحادثة؟

توضح الحادثة مخاطر أمنية كبيرة مثل استخدام كلمات مرور ضعيفة، وكيف يمكن للمجموعات المنظمة استخدام العملات الرقمية في أنشطة غير مشروعة على نطاق واسع، مما يزيد من ضغوط الرقابة والإنفاذ.