区块链调查员ZachXBT于周三在X平台披露了一名匿名黑客获取的机密文件，揭露了一个由朝鲜IT工作者组成的犯罪网络。该团队通过冒充正规软件工程师和全栈开发人员实施诈骗与入侵活动，自11月底启动运作以来，仅在短短几个月内就非法获利超过350万美元。

数据显示，以代号“Jerry”为首的核心成员带领着140人的团队，保持着每月约100万美元的平均收入增速，其资金流转通过名为luckyguys.site的非法站点进行协调。

值得注意的是，该团伙的操作手法虽然相对初级，却展现出了极高的组织化特征。据午方AI监测显示，团队成员统一使用弱密码123456来管理账户，并试图接入Payoneer等跨境支付平台将加密货币所得转换为法定货币，最终流入中国境内的银行账户。

部分涉案钱包已被追踪到与Sobaeksu、Saenal和Songkwang等受美国外国资产控制办公室制裁的机构存在关联，且其中一些地址早在12月就被Tether列入黑名单。

该组织内部实行严格的绩效考评制度，泄露文件中包含了一份自12月8日以来的详细收益排行榜，记录了每位成员的贡献值及对应的区块链交易哈希链接。调查还原了“Jerry”的具体作案路径，他利用Astrill虚拟私人网络访问Gmail，并在Indeed等招聘网站提交多份职位申请，甚至曾向德克萨斯州一家服装公司发送求职邮件，要求担任WordPress专家，提议时薪为30美元且每周仅需工作15至20小时。

为了掩盖真实身份，团队成员伪造了大量身份证明文件。代号“Rascal”的成员使用了假名和虚构的香港地址，并提供了伪造的账单图片作为佐证；此外，调查中还发现了一张疑似爱尔兰护照的照片，尽管目前尚无法确认该证件是否已实际投入诈骗环节。这些伪造的履历和文档构成了他们混入全球数字劳动力市场的伪装层。

回顾历史数据，自2009年以来，朝鲜政府支持的黑客组织累计窃取的加密货币资金已超过70亿美元，其中大部分来自加密项目漏洞攻击。从造成14亿美元损失的Bybit交易所事件，到Ronin Bridge项目被盗的6.25亿美元，再到4月1日对Drift Protocol发起的2.8亿美元攻击，这些案件均显示了国家级黑客力量的破坏力。

尽管此次曝光的团伙在技术复杂度上不及AppleJeus或TraderTraitor等资深组织，但其利用全球远程就业趋势进行社会工程学攻击的模式值得警惕。ZachXBT分析认为，虽然该团队的运作效率相对较低，但这种披着合法IT外包外衣的犯罪形式具有极强的隐蔽性和扩张性，正成为加密行业面临的新兴威胁源。