Офшоры, Пхеньян и уроки информатики. Как теневые айтишники спонсируют государственные нужды

Блогер ZachXBT заявил, что сумел заглянуть во внутреннюю кухню северокорейской сети IT-работников, которая, по его оценке, зарабатывает на теневых схемах и обучает участников прикладным навыкам для работы в киберсреде. История быстро привлекла внимание криптосообщества не только из-за содержания утечки, но и потому, что вскоре после публикации одна из связанных с ней площадок внезапно исчезла из сети.

По словам ZachXBT, администратор группы с ноября 2025 года по февраль 2026 года отправил участникам 43 учебных модуля по Hex-Rays и IDA Pro. Материалы охватывали дизассемблирование, декомпиляцию, локальную и удалённую отладку, а также другие темы, связанные с кибербезопасностью. Отдельно ZachXBT упомянул ссылку, отправленную 20 ноября, которая, как утверждается, прямо описывала назначение одного из ресурсов.

Автор публикации считает, что обнаруженный кластер северокорейской активности уступает по уровню организации более известным группам вроде AppleJeus и TraderTraitor. По оценке ZachXBT, именно такие структуры действуют заметно эффективнее и создают для отрасли наибольшие риски. Одновременно аналитик напомнил о прежней оценке доходов, согласно которой северокорейские IT-работники могут приносить многомиллионную выручку.

На следующий день ZachXBT сообщил, что внутренний платёжный сайт, связанный с описанной схемой, уже отключили после его поста. Архив с собранными данными, по словам автора, удалось сохранить заранее, поэтому исчезновение ресурса не помешало дальнейшему анализу.

Обсуждение быстро вышло за рамки самой находки. Часть пользователей высмеяла слабую защиту инфраструктуры и предположила, что организаторы не сменили стандартные пароли. Другие комментаторы обратили внимание на возможные офлайн-следы, включая адрес в Гонконге.

На фоне очередных сообщений о теневых доходах КНДР история снова подняла вопрос о том, какую роль цифровые мошеннические схемы играют в финансировании северокорейских операций.