Pesan BlockBeats, pada 8 April, detektif on-chain ZachXBT mengungkapkan bahwa sumber anonim telah membagikan data yang dicuri dari server pembayaran internal Korea Utara, mencakup 390 akun, catatan obrolan, dan informasi trade mata uang kripto. Ini adalah jaringan penipuan kompleks dengan arus kas bulanan sekitar 1 juta dolar AS, melibatkan identitas palsu, dokumen hukum palsu, dan saluran konversi mata uang kripto ke fiat.

Platform pembayaran internal pekerja IT Korea Utara mirip dengan Discord, digunakan untuk melapor kepada atasan dan melakukan pembayaran, kata sandi default situs web "123456" tidak pernah diubah dalam waktu lama, daftar pengguna mencakup peran, nama Korea Utara, kota, dan grup kode, serta melibatkan tiga perusahaan yang telah dikenai sanksi OFAC: Sobaeksu, Saenal, dan Songkwang. Sejak akhir November 2025 hingga saat ini, dompet pembayaran yang diproses oleh platform ini telah menerima lebih dari 3,5 juta dolar AS, dengan pola pembayaran tetap di mana pekerja mengirimkan mata uang kripto dari platform trade, atau mentransfer fiat melalui rekening bank menggunakan platform seperti Payoneer, dan administrator "PC-1234" memberikan kredensial akun setelah mengonfirmasi dana dikreditkan.

Diagram organisasi dengan jelas menampilkan total pembayaran setiap pengguna dan grup, serta aktivitas lain dan detail internal kelompok tersebut, termasuk penggunaan alat Astrill lintas firewall, pencarian kerja dengan identitas palsu, diskusi Slack, dan berbagi informasi pelatihan rekayasa terbalik satu sama lain. Beberapa catatan obrolan menunjukkan bahwa pekerja IT Korea Utara pernah mendiskusikan pencurian dana proyek melalui agen Nigeria, tetapi belum dikonfirmasi apakah hal tersebut telah dilaksanakan.