Пароль "123456" — внутри криптофермы Северной Кореи на $1M в месяц

Платформа работала как внутренний IPMsg-style чат плюс дашборд отслеживания платежей. 140 членов сети имели доступ. Около 33 работников оперировали под активными фейковыми идентичностями в каждый момент. Работники получали задания, выставляли инвойсы и получали оплату в крипте — преимущественно USDT на TRON.

Финансовый flow обработал около $3.5 миллионов с конца ноября 2025 по начало апреля 2026. Это около $1 миллиона в месяц. Работникам платили в диапазоне $3,000–$8,000 в месяц за идентичность, что сопоставимо с junior-to-mid software engineering rates на западных remote-work-платформах.

Имена аккаунтов в leaked data в некоторых случаях соответствуют OFAC-санкционированным shell-сущностям Sobaeksu, Saenal и Songkwang — сущностям, обозначенным Минфином в 2023 году и более ранних волнах за отмывание DPRK-attributed crypto. Платформа luckyguys.site не была изолированным криминальным предприятием. Это был payment-слой гораздо более крупной операции, идущей годами.

Отдельный учёт ZachXBT ставит совокупные DPRK IT-worker crypto payments на $16.58 миллиона с 1 января 2025 (его X post 1940388827392344261). Это многомесячный run rate около $1 миллиона, соответствующий датасету luckyguys.site.

Схема DPRK IT-worker задокументирована американскими и корейскими разведками, Mandiant, Microsoft Threat Intelligence и независимыми threat-research фирмами несколько лет. Механика хорошо понятна и, к сожалению, воспроизводима.

Работник — обычно базирующийся в России, Китае, Вьетнаме, Лаосе или Пакистане — принимает фейковую идентичность. У идентичности американское, канадское, европейское или японское имя; фейковый LinkedIn-профиль; синтетическая GitHub-история с форками или вкладами в публичные репозитории; и всё чаще AI-сгенерированные голос и лицо для видео-интервью. Некоторые операции используют реальных граждан США как "front"-идентичности, платя им процент за то, чтобы они одолжили документы.

Работник подаётся на удалённые engineering-роли в криптокомпании. Hiring-менеджеры, не делающие строгих background-проверок — а многие не делают — онбордят работника. Работник доставляет технически компетентную работу месяцами или годами.

Два месяца назад ZachXBT отдельно задокументировал, что у ElementalDeFi, Solana-протокола, на payroll годами был DPRK IT worker по имени "Keisuke Watanabe" (псевдонимы kasky53, keisukew53, kdevdivvy, 0xWoo). Тот же индивид одновременно был CTO Stabble, другой Solana DEX, через 2025. Когда связь раскрыли, ликвидити-провайдеры Stabble сделали emergency withdrawals, уронив TVL с $1.75 миллиона до меньше $663,000 за часы.

Паттерн повторяется: криптокомпания нанимает разработчика, который, без её ведома, является оперативником КНДР. Зарплата платится на кошелёк, которым оперативник лично не владеет, — она маршрутизируется через координатора payment-сети. Координатор скимит маржу, остаток конвертируется через USDT TRC-20 и маршрутизируется через OTC-операторов в Пхеньян.

12 марта 2026 OFAC Минфина опубликовала enforcement action, в которой названы шесть индивидов и две сущности и добавлены 21 криптокошелёк в Specially Designated Nationals (SDN) List. Обозначения покрыли:

- **Nguyen Quang Viet**, CEO Quangvietdnbg International Services во Вьетнаме. OFAC утверждает, что Viet лично конвертировал около $2.5 миллиона в крипту для КНДР между серединой 2023 и серединой 2025. - **Do Phi Khanh, Hoang Van Nguyen, Yun Song Guk** (DPRK IT-worker лид в Бутене, Лаос), **Hoang Minh Quang** (финансовый координатор) и **York Louis Celestino Herrera**. - **Amnokgang Technology Development Company** (КНДР), связанная с 7 адресами и $12M+ flows. - **Quangvietdnbg International Services Company Limited** (Вьетнам).

Action также пере-обозначил **Sim Hyon Sop**, китайского представителя Korea Kwangson Banking Corporation (KKBC), который был в SDN list с апреля 2023. Re-designation добавил 11 новых Ethereum и TRON-адресов в запись Sim и — критично — пометил активные связи с Корпусом Стражей Исламской Революции Ирана (IRGC). Это первое публично подтверждённое пересечение DPRK ↔ IRGC laundering.

21 конкретный адрес включает Amnokgang Ethereum-кошельки (`0xcB74874f1e06Fcf80A306e06e5379A44B488bA2D` среди других), Amnokgang TRON-кошельки (`TNrX2FwrHKoo4XACGkmSzqeK4pdnKYn6Z7` и другие), Ethereum-кошельки Yun Song Guk, Bitcoin-кошелёк Hoang Minh Quang `bc1qyy5pt5cx3zth8xlj92lq5y87dh8xv3nwgs4ncq` и новые Ethereum и TRON-кошельки Sim Hyon Sop.

Эти адреса в совокупности — payment-endpoints сети luckyguys.site. Это receiving-кошельки, на которых IT-worker salary flows в итоге заканчиваются после одного-четырёх хопов через coordinator-кошельки и OTC-десков.

Кросс-референс датасета luckyguys.site против SDN-добавлений от 12 марта даёт полный двух-шаговый граф: ближайшие paymaster-кошельки работников (видимы в luckyguys data) → OFAC-обозначенные координатор/прачечные кошельки (видимы в SDN list) → итоговый бенефициар в Пхеньяне.

Для целей Sanctuary это значит, что любой кошелёк, заплативший одному из tagged luckyguys.site worker-адресов с ноября 2025, имеет on-chain exposure к OFAC-обозначенным сущностям. Sanctuary помечает эти payment-source-кошельки тегом `dprk_it_worker_payroll` и наследует OFAC SDN flag на hop 1.

Практический вывод для криптокомпаний прямой. Если ваша компания платила contractor-инвойсы в USDT TRC-20 с середины 2025, прогоните эти payment-адреса через engine wallet-screening, в котором luckyguys-кластер labeled. intelligence_flags Sanctuary включают `dprk_it_worker_payroll_2025_2026` как отдельную категорию. Кросс-чек против вашей payroll-истории всплывёт любой адрес, пересекающий кластер.

Coinbase, Kraken и Bitstamp гонят такой кросс-чек на входящих депозитах как стандартную практику. Меньшие биржи и crypto-native работодатели часто не гонят. Если вы — 20-человечная криптостартап с тремя оффшорными контракторами, вы почти наверняка не гоните. Цена обнаружения, что один из ваших contractor-кошельков теперь в кластере, существенна: по американскому праву платёж OFAC-обозначенной сущности — strict-liability нарушение. Защита "мы не знали" на практике не защита.

Для freelancer-маркетплейсов — Upwork, Toptal, Fiverr, Crypto Jobs List и on-chain-платформ — импликации крупнее. Leaked luckyguys data показывает конкретные marketplace-handles, использовавшиеся сетью. Маркетплейсы, поглотившие данные и скринящие withdrawal-адреса, могут идентифицировать участвовавшие аккаунты. Большинство маркетплейсов не делают этого.

Run rate $1 миллион в месяц с luckyguys.site — не общая DPRK IT-worker экономика. Это координатор-система одной сети. Считается, что есть множественные параллельные системы — luckyguys просто та, которую оператор случайно засветил.

Государственный департамент MSMT (Multilateral Sanctions Monitoring Team) опубликовал отчёт в октябре 2025, оценивший, что схемы DPRK IT-worker сгенерировали около $800 миллионов в 2024 одном. OFAC action от 12 марта 2026 сослалось на ту же цифру. Если luckyguys.site — репрезентативная выборка, то параллельно работают 65–80 сетей похожего масштаба.

DOJ подаёт уголовные дела размеренным темпом. Пять признаний DPRK IT-worker-related + $15 миллионов в civil forfeitures landed в ноябре 2025 и последующих месяцах. Обвинение "Prince" в январе 2026 предъявило co-conspirators обвинения в размещении DPRK-работников в 64 американских компаниях, сгенерировавших около $950,000 в зарплатах. Отдельное civil forfeiture на $7.7 миллионов за украденные IT-worker proceeds на рассмотрении.

Цифра, которая должна волновать compliance-офицеров криптокомпаний, — per-worker run rate. $3,000–$8,000 в месяц за идентичность, масштабированно через 33 активные идентичности в одной сети, масштабированно через оценочные 65–80 сетей. Арифметика приходит к $200–$400 миллионов в год в одних IT-worker payroll, до учёта более крупных DPRK hack proceeds ($577M YTD 2026 через Drift и KelpDAO).

**Hiring-менеджерам криптокомпаний в 2026:** любой remote-only контрактор, отказывающийся делать live video, отказывающийся выходить на камеру в unscripted-контекстах, имеющий тонкий или недавно созданный social footprint, declining quick whiteboarding или имеющий unexplained gaps в availability, заслуживает второго взгляда. Threat-profile — не "враждебный актор с sophisticated-прикрытием": большинство luckyguys-работников, по leaked-датасету, использовали commodity-tooling, default-пароли и очевидные operational-ошибки. Они проходят, потому что hiring-funnels в 2026 — remote, быстрые и incentivise speed.

**Finance / payroll-командам:** не платите contractor-инвойсы в крипте без скрининга destination-адреса. Sanctuary, Chainalysis Reactor, Elliptic Lens и TRM Tactical могут сгенерировать per-address risk score по запросу. Marginal-cost ничтожен. Downside одного OFAC-нарушения может быть settlement $10 миллионов+ и deferred prosecution agreement.

**Биржам:** скриньте withdrawal-адреса против обозначений OFAC от 12 марта. 21 адрес — это floor; кластер вокруг них больше. Тег Sanctuary `dprk_it_worker_payroll` покрывает кластер на 3–5 хопов outbound от каждого designated-кошелька.

Дефолтный пароль — "123456". Сеть за ним обрабатывала $1 миллион в месяц.

Преимущество КНДР в 2026 — не техническая sophistication. Это масштаб и терпение. Защита против масштаба — тоже масштаб: каждой криптокомпании, каждому freelancer-маркетплейсу, каждому payroll-провайдеру с crypto-rails нужен address-кластер в его screening-pipeline. Раз он в пайплайне, следующие $200,000, которые вы почти заплатили "Keisuke Watanabe", остановятся на проводе.

Скриньте кошелёк. Пароль сказал вам всё, что нужно было знать.