快链头条 消息，4 月 8 日，链上侦探 ZachXBT 披露，一匿名信源共享了从朝鲜内部支付服务器窃取的数据，涵盖 390 个账户、聊天记录及加密货币交易信息。这是一个每月流水约 100 万美元的复杂诈骗网络，涉及伪造身份、假造法律文件以及加密货币到法币的转换渠道。

朝鲜 IT 工作者的内部支付平台类似 Discord，用于向上级汇报以及付款，网站默认密码「123456」长期未改，用户列表包含角色、朝鲜姓名、城市和编码组别，还涉及三家已被 OFAC 制裁的公司 Sobaeksu、Saenal 和 Songkwang。从 2025 年 11 月底至今，该平台处理的支付钱包已累计收到超过 350 万美元，支付模式固定为工作者将加密货币从交易平台转出，或通过 Payoneer 等平台使用银行账户转移法币，管理员「PC-1234」在确认到账后提供账户凭证。

组织架构图清晰展示每个用户和组别的支付总额，以及团伙的其他活动和内部细节，包括使用 Astrill 跨防火墙工具、假身份求职、Slack 讨论以及互相分享逆向工程培训资料。部分聊天记录显示朝鲜 IT 工作者曾讨论通过尼日利亚代理窃取项目资金，但尚未确认是否实施。