🔴 hack

Corée du Nord : ZachXBT expose un serveur secret de paiements crypto

ZachXBT révèle un réseau interne nord-coréen lié à plus de 390 comptes et 3,5M$ de flux crypto depuis novembre 2025.
📅 jeudi 9 avril 2026 ⏱ 2 min de lecture · 66 vues
Corée du Nord : ZachXBT expose un serveur secret de paiements crypto

ZachXBT vient de frapper fort. Le détective crypto a publié un thread explosif sur X révélant l'existence d'un serveur de paiement interne utilisé par des agents informatiques nord-coréens pour recevoir et redistribuer des fonds en crypto à leurs supérieurs hiérarchiques.

L'affaire démarre avec un coup de chance : l'un de ces travailleurs du régime DPRK s'est fait infecter par un infostealer, un malware conçu pour aspirer silencieusement les données sensibles. Résultat : des logs de chat IPMsg, des fausses identités fabriquées et un historique de navigation complet se retrouvent dans les mains d'une source anonyme, qui les transmet à ZachXBT.

Le site mis au jour s'appelle luckyguys.site. Il fonctionne comme une plateforme interne de gestion de paiements, un Discord maison où les opérateurs IT nord-coréens déclarent leurs revenus et les font remonter vers PC-1234, le compte administrateur du serveur. Le mot de passe par défaut du site était "123456". Au moment de l'extraction, 10 comptes l'utilisaient encore tel quel.

Les données exposent plus de 390 comptes avec noms coréens, rôles, localisations et codes de groupe internes. Trois entités citées dans les logs — Sobaeksu, Saenal et Songkwang — sont déjà sous sanctions OFAC. Ce n'est pas une coïncidence.

Depuis fin novembre 2025, plus de 3,5 millions de dollars ont transité par les wallets liés à cette infrastructure. Le schéma est toujours le même : les travailleurs reçoivent des crypto directement depuis des exchanges, ou convertissent en fiat via des comptes bancaires chinois et des plateformes comme Payoneer. PC-1234 confirme la réception et distribue en échange des identifiants d'accès à des exchanges ou des apps de paiement fintech.

Les logs couvrent la période de décembre 2025 à avril 2026. Des adresses à Hong Kong apparaissent pour la facturation et la livraison de biens, mais leur authenticité reste à confirmer.

Cette révélation s'inscrit dans une semaine déjà chargée. Dimanche, la chercheuse Taylor Monahan avait révélé que des travailleurs IT nord-coréens avaient infiltré plus de 40 projets DeFi sur sept ans. Le même week-end, plusieurs acteurs du secteur crypto partageaient des vidéos montrant ces agents échouer au "test Kim Jong-Un" lors d'entretiens vidéo. Et tout ça fait suite à l'attribution de l'attaque du 1er avril sur Drift Protocol — 285 millions de dollars volés — au groupe UNC4736, affilié au régime nord-coréen.

La Corée du Nord ne fait pas que hacker des protocoles. Elle a mis en place une infrastructure professionnelle, structurée, avec des rôles définis, des process de paiement rodés et des couvertures soigneusement construites. Ces agents bossent depuis des années dans des projets crypto sans que personne ne s'en aperçoive.

Ce que ça change : le secteur crypto ne peut plus ignorer le risque d'infiltration humaine. Vérifier l'identité de ses prestataires et développeurs freelance n'est plus une option, c'est une obligation de survie pour tout projet sérieux.

A lire aussi
hack
Bitcoin Depot se fait vider : 50,9 BTC envolés en pleine nuit
hack
Mythos : l'IA d'Anthropic qui génère des failles zero-day à 72%
hack
Drift Protocol : 285M$ volés en 12 min par la Corée du Nord