L'investigatore di blockchain ZachXBT afferma di aver scoperto una sofisticata rete di sviluppatori nordcoreani che guadagnano fino a 500.000$ al mese lavorando per progetti crypto "affermati."

In un post su X del 15 agosto, ZachXBT ha affermato di ritenere che "una singola entità in Asia," probabilmente operante dalla Corea del Nord, riceva da 300.000 a 500.000 dollari al mese impiegando almeno 21 lavoratori in oltre 25 progetti crypto.

ZachXBT ha scoperto che 21 sviluppatori nordcoreani, usando identità false, lavorano a decide di progetti crypto. Fonte: ZachXBT

ZachXBT scrive:

"Recentemente un team mi ha chiesto assistenza, dopo che 1,3 milioni di dollari erano stati rubati dalla loro tesoreria in seguito all'inserimento di codice maligno. A loro insaputa, avevano assunto diversi sviluppatori della Corea del Nord che utilizzavano identità false."

ZachXBT aggiunge che questi fondi sono poi stati riciclati attraverso una sequenza di transazioni, terminata con la vendita di 16,5 Ether (ETH) su due exchange. Dopo ulteriori indagini su questi sviluppatori, ZachXBT ritiene che facciano parte di una rete molto più estesa.

Seguendo più indirizzi di pagamento, ha scoperto un gruppo di sviluppatori che ha ricevuto "375.000$ nell'ultimo mese," nonché transazioni precedenti per un totale di 5,5 milioni di dollari. Tutti questi fondi sono confluiti nell'indirizzo di deposito di un exchange, tra luglio 2023 e l'inizio del 2024.

Questi pagamenti sono riconducibili a degli sviluppatori nordcoreani, fra cui un individuo – Sim Hyon Sop – sanzionato dall'Office of Foreign Assets Control (OFAC) per aver coordinato trasferimenti finanziari che hanno finito per sostenere i programmi d'armamento della Corea del Nord.

Sviluppatori che ZachXBT ritiene essere di origine nordcoreana. Utilizzano identità false e nell'ultimo mese hanno ricevuto 375.000$. Fonte: ZachXBT

L'indagine di ZachXBT ha scoperto che altri indirizzi di pagamento erano strettamente collegati a un altro individuo sottoposto alle sanzioni dell'OFAC, Sang Man Kim, che in passato è stato associato a crimini informatici legati alla Corea del Nord.

ZachXBT ha scritto:

"Numerosi team esperti hanno assunto questi sviluppatori. [...] Poco dopo aver pubblicato il post, un altro progetto ha scoperto di aver assunto uno di questi sviluppatori sudcoreani (che utilizzava il falso nome di 'Naoki Murano').

Il team ha condiviso il mio posto nella loro chat. Immediatamente, nel giro di due minuti, Naoki ha lasciato la chat e ha cancellato il suo account GitHub."