Puntos clave de la noticia:
- ZachXBT expuso datos de un presunto servidor interno de pagos vinculado a la RPDC que habría procesado cerca de $1 millón al mes mediante flujos basados en cripto entre finales de 2025 e inicios de 2026.
- El material filtrado habría incluido más de 390 cuentas, registros de chat, identidades falsas y vínculos con WebMsg, también conocido como luckyguys.site.
- Nombres sancionados, direcciones congeladas y una seguridad interna débil sugieren que la red era al mismo tiempo extensa en operación y vulnerable en su estructura.
ZachXBT ha sacado a la luz lo que parece ser una de las miradas internas más claras hasta ahora sobre un presunto circuito de pagos operado por trabajadores IT vinculados a la RPDC, rastreando unos $1 millón mensuales en flujos cripto a través de un servidor interno comprometido. Los registros filtrados, extraídos de datos asociados a una operación de pagos norcoreana, apuntan a un sistema que supuestamente utilizaba identidades falsas, mensajería interna y rieles de conversión de cripto a fiat para mover fondos a escala. Lo más inquietante de la revelación no es solo el dinero, sino la estructura industrial que hay detrás. Más que un fraude aislado, lo que aparece es una maquinaria organizada de generación de ingresos.
1/ Recently an unnamed source shared data exfiltrated from an internal North Korean payment server containing 390 accounts, chat logs, crypto transactions.
I spent long hours going through all of it, none of which has ever been publicly released.
It revealed an intricate… pic.twitter.com/aTybOrwMHq
— ZachXBT (@zachxbt) April 8, 2026
Por qué esta exposición importa más allá de un solo servidor de pagos
El conjunto de datos incluía, según se reporta, más de 390 cuentas, registros de chat, historiales de transacciones, actividad de navegador y material de identidad falsificado. Todo gira en torno a una plataforma interna conocida como luckyguys.site, también llamada WebMsg, donde los trabajadores presuntamente reportaban pagos a sus supervisores. Algunos usuarios, al parecer, nunca cambiaron la contraseña predeterminada, “123456”, una debilidad casi absurda para una operación que movía millones. La contradicción es difícil de ignorar: una red lo bastante sofisticada como para escalar a nivel internacional, pero sostenida en algunos puntos por fallas de seguridad básicas. Esa mezcla de disciplina y descuido fue precisamente lo que dio a los investigadores un mapa de cómo funcionaba la estructura.
Los registros también parecen conectar la infraestructura con nombres corporativos sancionados. Sobaeksu, Saenal y Songkwang, todas entidades sancionadas por el Tesoro de Estados Unidos, habrían aparecido en la lista de usuarios filtrados. ZachXBT además vinculó direcciones internas de pago con clústeres ya conocidos de trabajadores IT de la RPDC, incluyendo una dirección de Ethereum y otra de Tron que Tether congeló en diciembre de 2025. Eso empuja la historia más allá de una actividad de pagos sospechosa y la convierte en un problema de sanciones, cumplimiento e ilicitud financiera con implicaciones internacionales claras. El material filtrado abarcaría alrededor de $3.5 millones en pagos procesados desde finales de noviembre de 2025, ofreciendo una visibilidad operativa poco habitual sobre la red.
La implicación de fondo es que los pagos en cripto siguen siendo una capa de liquidación funcional allí donde los canales convencionales están restringidos, oscurecidos o políticamente expuestos. En este caso, esa flexibilidad habría servido para sostener un aparato laboral y de pagos basado en engaño, credenciales falsas y coordinación interna. Lo que esta investigación termina revelando no es solo una fuente de ingresos vinculada a Corea del Norte, sino un modelo operativo escalable para mover dinero en cripto bajo identidades falsas. Para el mercado, la lección es incómoda: los mismos rieles que vuelven eficiente la transferencia internacional de valor también pueden hacer sorprendentemente resistente una infraestructura financiera encubierta.
