Треугольник Drift-Radiant-Amnokgang — как hack-юнит КНДР и сеть IT-worker-выручки соединяются через один кошельковый граф

5 апреля 2026 года — через четыре дня после того, как Drift Protocol был опустошён на $285 млн в 12-минутном эксплойте в 16:05:18 UTC 1 апреля — инцидент-команда Drift опубликовала официальный post-mortem. Документ атрибутировал эксплойт UNC4736, также отслеживаемому как Citrine Sleet, AppleJeus, Golden Chollima и Gleaming Pisces, — threat actor КНДР, задокументированный Microsoft Threat Intelligence, Mandiant и смежными структурами с 2018 года.

Конкретный операционный тезис, процитированный в материале CoinDesk о post-mortem:

> "The basis for this connection is both on-chain (fund flows used to stage and test this operation trace back to the Radiant attackers) and operational (personas deployed across this campaign have identifiable overlaps with known DPRK-linked activity)."

Перевод: «Основание для этой связи является как on-chain (денежные потоки, использованные для подготовки и тестирования этой операции, восходят к атакующим Radiant), так и операционным (персонажи, задействованные в этой кампании, имеют идентифицируемые пересечения с известной активностью, связанной с КНДР)».

Формулировка «fund flows used to stage and test this operation trace back to the Radiant attackers» необычно прямолинейна. Команда Drift не утверждала поведенческое сходство или совпадение сигнатур threat actor. Они утверждали **конкретные on-chain денежные потоки** — то есть кошельки, транзакции, hash-level доказательства, — соединяющие апрельскую атаку 2026 года на Drift с exploit Radiant Capital в октябре 2024 года на уровне финансирования.

Post-mortem не публиковал конкретные промежуточные адреса кошельков. Хэши, образующие трассировку, остаются во внутренних данных incident response Drift и, по всей видимости, у правоохранительных органов, координирующих расследование. Attribution твёрдый; wallet-level-доказательства в публичном доступе отсутствуют.

Это важно, поскольку устанавливает структурный прецедент. Drift атрибутировал атаку 2026 года к атаке 2024 года **на уровне кошелькового графа**. Тот же DPRK-юнит действовал непрерывно, повторно используя инфраструктуру, не менее восемнадцати месяцев — и on-chain отпечаток сохраняется в этом временно́м окне.

12 марта 2026 года OFAC опубликовал правоприменительное действие, обозначив шесть физических лиц и два юридических лица, связанных со схемой IT-worker revenue КНДР. В SDN crypto-attribution extension были добавлены двадцать один крипто-адрес. Обозначения охватили:

**Amnokgang Technology Development Company** (КНДР) с семью адресами: - Ethereum: `0xcB74874f1e06Fcf80A306e06e5379A44B488bA2D`, `0x0330070FD38Ec3bB94F58FA55D40368271E9e54A`, `0x9Be599d7867f5E1a2D7Ec6dB9710dF2b98A15573` - TRON: `TNrX2FwrHKoo4XACGkmSzqeK4pdnKYn6Z7`, `TEEYCuGDyeNkuDj4u6GQRXxXo3Nh29r2vP`, `TZB4NrX7k9ZsV6PRc1GigAztLL8WHpLvwP`, `TDe2UNAvuUnTbbDo7518eMe3TXN5qJW8Ft`

**Yun Song Guk** (лидер IT-работников КНДР в Ботэне, Лаос): - Ethereum: `0xb637f84b66876ebf609c2a4208905f9ddac9d075`, `0x95584C303FCd48AF5c6B9873015f2AD0ca84EaE3`

**Hoang Minh Quang** (финансовый координатор): - Bitcoin: `bc1qyy5pt5cx3zth8xlj92lq5y87dh8xv3nwgs4ncq`

**Sim Hyon Sop** — переобозначен с 11 новыми адресами Ethereum и TRON, помечен за активные связи с Корпусом стражей исламской революции Ирана.

Анализ Chainalysis по этому действию, опубликованный в тот же день, содержал операционный тезис, закрывающий пробел со стороны Drift:

> "Addresses belonging to Amnokgang... additionally leveraged Southeast Asian movement services and received downstream funds from a suspected DPRK hack."

Перевод: «Адреса, принадлежащие Amnokgang... дополнительно задействовали юго-восточноазиатские движения средств и получали нижестоящие средства от предполагаемого DPRK-хака».

«Received downstream funds from a suspected DPRK hack.» Сеть Amnokgang — обозначенная как инфраструктура IT-worker revenue — была, по данным Chainalysis, также адресатом хакерских поступлений. Источник хака публично не назван.

Хаки-кандидаты, видимые Chainalysis по состоянию на 12 марта 2026 года: Bybit (февраль 2025, $1,5 млрд, крупнейший единичный источник), Radiant Capital (октябрь 2024, $53 млн), различные инциденты 2025 года (Cetus, Mango Markets follow-on, более мелкие эксплойты) и неопределённый набор более ранних хаков 2023-2024 годов. Эксплойт Drift от 1 апреля 2026 года ещё не произошёл. Эксплойт KelpDAO от 18 апреля 2026 года тоже.

С учётом временны́х меток и задокументированного пересечения attribution по UNC4736, наиболее вероятным источником хака — хотя и не единственным кандидатом — является Radiant Capital. Кластер атакующих Radiant отслеживался Mandiant и смежными структурами на протяжении 2024-2025 годов. Кластер использовал юго-восточноазиатские посреднические сервисы (соответствующие ссылке Chainalysis на «Southeast Asian movement services»). Географический операционный профиль кластера совпадает с вьетнамско-лаосско-северокорейской структурой Amnokgang.

Это гипотеза, а не доказанный attribution. Это гипотеза, наиболее согласующаяся с опубликованными данными.

Прочитаем post-mortem Drift и анализ Chainalysis вместе:

- **Drift (апрель 2026)** ← staging fund flows восходят к ← **Radiant Capital (октябрь 2024)** - **Amnokgang (OFAC март 2026)** ← получал downstream funds от ← **«предполагаемого DPRK-хака»**

Если неназванный хак во втором соотношении — это Radiant Capital — а временны́е метки, пересечение attribution по UNC4736 и ссылка на юго-восточноазиатские movement services это поддерживают — тогда сеть Amnokgang и staging-цепочка Drift разделяют один и тот же upstream-источник.

Инфраструктура IT-worker revenue и кластер hack-and-steal функционируют не как отдельные экосистемы. Они являются downstream-потребителями одного и того же upstream-кошелькового графа. В этом прочтении поступления от Radiant Capital финансировали как операционную инфраструктуру IT-worker-сети (описанные Chainalysis пути отмывания), так и staging-цепочку следующей крупной hack-and-steal операции (Drift, восемнадцать месяцев спустя).

Именно эта связь не была ещё публично заявлена ни одним источником явно. Post-mortem Drift останавливается на «Radiant attackers». Анализ Chainalysis останавливается на «suspected DPRK hack». Ни один не соединяет их с другим. Прочитанные вместе, с учётом временны́х меток и пересечения attribution, треугольник замыкается.

Compliance-следствие носит структурный характер. Пайплайны, проводящие screening на предмет экспозиции к hack-and-steal кошелькам (кластер Bybit, кластер Drift, кластер KelpDAO), и пайплайны, проводящие screening на предмет экспозиции к IT-worker payroll кошелькам (Amnokgang, Yun Song Guk, Sim Hyon Sop, Sobaeksu, Saenal, Songkwang), функционировали как отдельные фильтры. Согласно опубликованным attribution, upstream-граф один и тот же. Кошелёк, находящийся в downstream Drift, с определённой вероятностью находится и в upstream Amnokgang. Compliance-фреймворки, проверяющие одну сторону, но не другую, упускают экспозицию на непроверяемой стороне.

Вторая половина этой истории — вселенная неназванных жертв.

В нескольких правоприменительных действиях по IT-worker схеме КНДР 2024-2026 годов DOJ объявил счётчики жертв:

- **Приговор 6 мая 2026 года** (Matthew Isaac Knoot + Erick Ntekereze Prince, по 18 месяцев каждый): приблизительно **70 компаний-жертв** упомянуто. Компании не названы. - **Приговор апреля 2025 года** (дело $5 млн, двое граждан США): **136 компаний-жертв** упомянуто. Компании не названы. - **Taylor Monahan (MetaMask), публичные заявления 2024-2025 годов**: «**40+ DeFi-протоколов**» неосознанно наняли DPRK-работников «вплоть до DeFi Summer». Имена не указаны. - **ZachXBT, публикация 8 апреля 2026 года**: прямо заявил, что «closely monitoring five other larger clusters» («пристально отслеживает ещё пять более крупных кластеров»), однако не будет публиковать эти адреса, «since they are active» («поскольку они активны»).

В совокупности по этим источникам: более 200 западных крипто- и смежных технологических компаний публично подтвердили или убедительно предположили наличие экспозиции к IT-worker payroll КНДР. Число публично названных компаний в открытых источниках: **четыре**.

Четыре компании:

**1. ElementalDeFi** (Solana). Работник: Keisuke Watanabe. Псевдонимы: @kasky53, keisukew53, kdevdivvy, 0xWoo, [email protected]. «В штате несколько лет» согласно раскрытию ZachXBT от 7 апреля 2026 года. Сумма выплат публично не раскрывалась.

**2. Stabble** (Solana DEX). Тот же работник: Keisuke Watanabe, в должности бывшего CTO. TVL упал на 62 процента (с $1,75 млн до менее чем $663K) в течение нескольких часов после раскрытия 7 апреля. Кейс Stabble — наиболее показательный пример паттерна «вы наняли одного и того же человека дважды»: один оператор работает в двух протоколах одновременно, получает выплаты от обоих, ни одна из компаний не знает, что разработчик атрибутирован КНДР.

**3. Munchables** (блокчейн Blast, NFT/gaming). Четыре аккаунта работника — NelsonMurua913, Werewolves0493, BrightDragon0719, Super1114 — оценены ZachXBT как вероятно один человек, управляющий несколькими идентичностями. Исход: эксплойт на $62,5 млн в марте 2024 года. Кейс попал в публичный корпус, поскольку работник совершил активный exploit, вынудив работодателя к публичному раскрытию.

**4. Favrr** (Ethereum) + **платформа ChainSaw** (Replicandy, Peplicator, Hedz, Zogz NFT коллекции). Псевдоним работника: «Alex Hong». Favrr потерял приблизительно $680 000 в июне 2025 года; проекты, связанные с ChainSaw, потеряли приблизительно $310 000 в отдельном эксплойте. Итого приблизительно $1 млн по обоим.

Это четыре. Каждая другая западная крипто-компания, платившая в IT-worker-сеть КНДР — включая, согласно цепочке attribution post-mortem Drift, компании, чьи staging-chain средства в конечном счёте поступали в Amnokgang, — публично не названа.

Паттерн сокрытия структурно последователен по всем следователям. ZachXBT, Chainalysis, TRM Labs, Nisos, Elliptic, пресс-релизы DOJ и обозначения OFAC — все раскрывают счётчики жертв как агрегаты без идентификации конкретных компаний. Заявленные или подразумеваемые причины: текущие правоохранительные расследования, защита персональных данных жертв, избегание вторичного репутационного ущерба компаниям, которые сами могут быть жертвами мошенничества с идентичностью, а не осознанными участниками схемы, и — в конкретной формулировке ZachXBT — операционная защита активных следственных ниток.

Если треугольник Drift-Radiant-Amnokgang подтверждается, из этого следуют три compliance-следствия.

**Первое: разделение при screening ошибочно.** Пайплайны, трактующие «экспозицию к hack-attributed wallet» и «экспозицию к IT-worker payroll» как отдельные категории фильтров, должны консолидировать их в единый DPRK-операционный граф. Кошелёк, касавшийся кластера атакующих Radiant Capital, несёт Amnokgang-adjacent риск вне зависимости от того, появлялся ли он в каком-либо IT-worker payroll-реестре. Кошелёк, плативший в координационную сеть luckyguys.site, несёт Drift-staging-adjacent риск вне зависимости от того, испытывала ли компания активный хак.

**Второе: счётчик жертв структурно больше, чем четыре названных.** Раскрытия 70+, 136+, 40+-DeFi и «five-larger-cluster» указывают на корпус приблизительно из 200-300 западных компаний, платившие в сеть КНДР в какой-то момент в 2023-2026 годах. Если payroll-кошельки этих компаний находятся ниже того же upstream-графа, что финансировал staging-цепочку Drift, тогда любая компания в этом корпусе является транзитивным спонсором следующего крупного хака. Фрейминг меняется с «мы наняли подрядчика, оказавшегося атрибутированным КНДР» на «наш payroll-кошелёк финансировал staging-цепочку девятизначного exploit 2026 года».

**Третье: фреймворк 20-го санкционного пакета ЕС от 24 мая неполон для этой экспозиции.** Расширенное санкционное правоприменение ЕС фокусируется на крипто-активах российского коридора (A7A5, RUBx, российский и белорусский цифровой рубль) и на CASP, «учреждённых в России» или Белоруссии. Экспозиция к DPRK-операционному графу, задокументированная post-mortem Drift и анализом Chainalysis, не входит в сферу действия пакета ЕС. Западным compliance-пайплайнам нужен параллельный фреймворк, адресующий риск DPRK-операционного графа отдельно — через screening по OFAC SDN, интеграцию threat intelligence публично названных адресов OFAC и проактивный screening кошельков payroll подрядчиков.

Правоприменительное действие OFAC по Funnull / Liu Lizhi в мае 2026 года — обозначение Funnull Technology Inc. на Филиппинах и её администратора Liu Lizhi за обработку более $200 млн в поступлениях pig-butchering с адресами TRON `TNmRfnSUXZoWWzxcDDbf95eGQYXt1mJDt8` и Ethereum `0xd5ED34b52AC4ab84d8FA8A231a3218bbF01Ed510` — показывает, что OFAC продолжает обозначать конкретные операционные узлы в смежных графах незаконного финансирования. Адреса Funnull демонстрируют прямые on-chain потоки от Huione Pay, камбоджийского платёжного процессора, уже санкционированного в 2025 году. Это тот же паттерн: публично обозначенный терминал, закрывающий один операционный слой, при сохранении нераскрытых upstream-источников.

Это гипотезо-обоснованный исследовательский материал, а не forensic-grade attribution-отчёт. Конкретные load-bearing тезисы:

- Инцидент-команда Drift Protocol атрибутировала staging-цепочку апрельской атаки 2026 года кошельковому графу атакующих Radiant Capital в октябре 2024 года. **Это собственный опубликованный attribution Drift.** Он имеет источник. - Chainalysis атрибутировал входящие средства Amnokgang в момент обозначения OFAC частично «предполагаемому DPRK-хаку». **Это собственный опубликованный attribution Chainalysis.** Он имеет источник. - Гипотеза о том, что неназванный хак в формулировке Chainalysis, скорее всего, является Radiant Capital, — **это гипотеза Sanctuary**, основанная на временны́х метках, пересечении attribution threat actor и согласованности географической инфраструктуры. Она не доказана. Это вывод, наиболее согласующийся с опубликованными данными и наиболее легко тестируемый, если базовые wallet-хэши окажутся в публичном доступе.

Что этот материал не утверждает: - Конкретные адреса кошельков, связывающие staging Drift с downstream Amnokgang. Drift их не публиковал; Chainalysis их не публиковал; Sanctuary не может публиковать то, что мы самостоятельно не верифицировали. - Конкретные западные компании из неназванной вселенной 70/136/40+. Паттерн сокрытия общеиндустриальный и отражает текущие расследования. - Окончательную идентичность «Mark X» или funder-of-funders LAB-кластера, которые являются отдельными следственными нитками.

Что этот материал утверждает, и что мы считаем публикуемым: - Два опубликованных attribution, прочитанные вместе, меняют структурный фрейминг крипто-операций КНДР. Кластер hack-and-steal и IT-worker revenue network не разделены. Они связаны на уровне upstream-кошелькового графа. - Compliance-пайплайны, проверяющие одну сторону без проверки другой, упускают материальную экспозицию на непроверяемой стороне.

**Первое.** Добавьте 21 адрес OFAC от 12 марта 2026 года в ваш screening на высшем уровне достоверности. Это наиболее конкретная операционная точка данных из этого анализа. Адреса публично обозначены. Любой кошелёк, взаимодействовавший с любым из них — напрямую или на небольшой глубине хопов — должен быть помечен.

**Второе.** Трактуйте экспозицию к hack-attributed-wallet (Drift, KelpDAO, Bybit, Radiant Capital, кластер) и экспозицию к IT-worker-payroll-wallet (luckyguys.site, Amnokgang, Yun Song Guk, Sim Hyon Sop) как единую категорию для целей risk-tier. Если ваш compliance-вендор поддерживает их как отдельные фильтры — запросите консолидацию или самостоятельно примените transitive-risk weighting.

**Третье.** Проведите аудит собственной истории выплат подрядчикам по адресам OFAC от 12 марта, по публично раскрытым псевдонимам работников Stabble / ElementalDeFi (Keisuke Watanabe, @kasky53, keisukew53, kdevdivvy, 0xWoo) и по кластеру из четырёх идентичностей Munchables (NelsonMurua913, Werewolves0493, BrightDragon0719, Super1114). Четыре публично названных кейса — это proof-of-concept методологии; неназванные 200+ — это неадресованная экспозиция.

Крипто-операции КНДР в 2026 году — это не две отдельные экосистемы. Собственный post-mortem Drift и собственный attribution-анализ Chainalysis, взятые вместе, указывают на единый upstream-кошельковый граф за кластером hack-and-steal и IT-worker revenue network. Треугольник — staging-цепочка Drift, exploit Radiant Capital в октябре 2024 года, downstream-средства Amnokgang — замыкается на временны́х метках, пересечении attribution и согласованности географической инфраструктуры.

Для compliance-команд: проводите screening по графу, а не по помеченной категории. Категории — это то, как структурирована публичная отчётность. Граф — это то, как операция действует в реальности.

Четыре публично названных западных работодателя — это видимая часть. Скрытые 70, 136 и 40+ DeFi-протоколов — значительно более широкая вселенная. Compliance-пайплайны, это признающие, — и threat-intelligence интеграции, консолидирующие hack-attribution и IT-worker-attribution в единую категорию, — производят материально более качественные риск-решения, чем пайплайны, сохраняющие это разделение.

Sanctuary публикует этот анализ как эксклюзивный исследовательский вклад. Гипотеза тестируема; опубликованные attribution, на которые она опирается, поддаются аудиту; структурное compliance-следствие операционно актуально сегодня.

Два attribution существуют. Треугольник замыкается. Compliance-пайплайны должны следовать.