เครือข่ายแรงงานไอทีจากเกาหลีเหนือถูกแฮกเกอร์สวนกลับ เปิดโปงปฏิบัติการปลอมตัวทำงานสายดีเวลลอปเปอร์ควบคู่แฮกระบบคริปโต รายได้ทะลุ 3.5 ล้านดอลลาร์ในเวลาไม่กี่เดือน พร้อมโครงสร้างทีมกว่า 140 คน ใช้ช่องโหว่ขั้นพื้นฐานอย่างรหัสผ่าน “123456” เป็นแกนกลางประสานธุรกรรม โยงองค์กรที่ถูกคว่ำบาตรโดยสหรัฐฯ และเส้นทางฟอกเงินผ่านบัญชีจีน ตอกย้ำภัยคุกคามเชิงโครงสร้างที่ยังคงกดดันอุตสาหกรรมคริปโตทั่วโลก แม้ปฏิบัติการบางส่วนดู “ไม่ซับซ้อน” แต่เม็ดเงินและผลกระทบกลับมหาศาล สะท้อนเกมเงาระดับรัฐที่ยังเดินหน้าอย่างเงียบงันในโลกดิจิทัล
ปฏิบัติการใต้เงามืดของแรงงานไอทีจากเกาหลีเหนือถูกกระชากหน้ากากอีกครั้ง เมื่อแฮกเกอร์นิรนามสามารถเจาะระบบอุปกรณ์ของหนึ่งในสมาชิกเครือข่าย และเปิดเผยข้อมูลภายในที่สะท้อนภาพการดำเนินงานอย่างเป็นระบบ ทั้งการปลอมตัวเป็นนักพัฒนา และการแทรกซึมโจมตีโปรเจกต์คริปโตควบคู่กันไป
ข้อมูลดังกล่าวถูกเผยแพร่โดยนักสืบบล็อกเชนชื่อดัง ZachXBT ผ่านแพลตฟอร์ม X โดยชี้ให้เห็นว่า หนึ่งในสมาชิกที่ใช้ชื่อว่า “เจอร์รี่” เป็นส่วนหนึ่งของทีมขนาดใหญ่ราว 140 คน ซึ่งสามารถสร้างรายได้รวมประมาณ 1 ล้านดอลลาร์ต่อเดือน หรือคิดเป็นมูลค่าคริปโตสะสมกว่า 3.5 ล้านดอลลาร์ นับตั้งแต่ช่วงปลายเดือนพฤศจิกายน พ.ศ. 2568
สิ่งที่น่าตกใจไม่ใช่เพียงขนาดของรายได้ แต่เป็น “ความหยาบแต่ได้ผล” ของโครงสร้างปฏิบัติการ โดยเครือข่ายดังกล่าวใช้เว็บไซต์ชื่อ luckyguys.site เป็นศูนย์กลางในการจัดการธุรกรรม และใช้รหัสผ่านร่วมกันที่คาดเดาได้ง่ายอย่าง “123456” ในการเข้าถึงระบบ
การตรวจสอบเชิงลึกยังพบความเชื่อมโยงกับองค์กรอย่าง Sobaeksu, Saenal และ Songkwang ซึ่งล้วนอยู่ภายใต้การคว่ำบาตรของ US Office of Foreign Assets Control สะท้อนให้เห็นถึงความเป็นไปได้ของการสนับสนุนในระดับรัฐ
เส้นทางการเงินของเครือข่ายนี้มีลักษณะเป็น “สายพานฟอกเงิน” โดยนำคริปโตไปแปลงเป็นเงินสกุลปกติ และโอนต่อไปยังบัญชีธนาคารในประเทศจีน ผ่านแพลตฟอร์มการชำระเงินออนไลน์อย่าง Payoneer ขณะเดียวกัน การติดตามกระเป๋าเงินดิจิทัลยังพบความเชื่อมโยงกับกระเป๋าที่เคยถูก Tether ขึ้นบัญชีดำเมื่อเดือนธันวาคมที่ผ่านมา
ภาพรวมดังกล่าวตอกย้ำว่า อุตสาหกรรมคริปโตยังคงเผชิญแรงกดดันจาก “ภัยคุกคามเชิงรัฐ” ที่พัฒนาอย่างต่อเนื่อง ทั้งในมิติของการแฮก การหลอกลวง และการแทรกซึมบุคลากร
ข้อมูลเชิงประวัติระบุว่า นับตั้งแต่ปี พ.ศ. 2552 เครือข่ายที่ได้รับการสนับสนุนจากรัฐเกาหลีเหนือสามารถขโมยทรัพย์สินรวมกว่า 7 พันล้านดอลลาร์ โดยส่วนใหญ่เกิดขึ้นในระบบคริปโต เหตุการณ์สำคัญที่สะท้อนศักยภาพ ได้แก่ การแฮกแพลตฟอร์ม Bybit มูลค่า 1.4 พันล้านดอลลาร์ และการโจมตีสะพานเชื่อม Ronin มูลค่า 625 ล้านดอลลาร์
ล่าสุด ยังมีรายงานว่าเหตุการณ์แฮกมูลค่า 280 ล้านดอลลาร์ที่เกิดขึ้นกับ Drift Protocol เมื่อวันที่ 1 เมษายน พ.ศ. 2569 ก็มีความเชื่อมโยงกับกลุ่มจากเกาหลีเหนือเช่นกัน
อีกหนึ่งรายละเอียดที่สะท้อน “ความเป็นองค์กร” ของเครือข่ายนี้ คือการมีระบบจัดอันดับผลงานภายใน หรือ leaderboard ที่แสดงรายได้คริปโตของสมาชิกแต่ละคนตั้งแต่วันที่ 8 ธันวาคม พร้อมลิงก์ไปยังข้อมูลธุรกรรมบนบล็อกเชนแบบตรวจสอบได้
ในมิติการปฏิบัติการเชิงบุคคล ข้อมูลที่รั่วไหลยังเผยให้เห็นว่า “เจอร์รี่” ใช้เครือข่าย VPN จาก Astrill เพื่อเข้าถึงบัญชี Gmail และสมัครงานในตำแหน่ง full-stack developer และวิศวกรซอฟต์แวร์ผ่านแพลตฟอร์มหางานอย่าง Indeed
นอกจากนี้ ยังมีร่างอีเมลที่ไม่ได้ส่ง ซึ่งเขียนสมัครงานตำแหน่งผู้เชี่ยวชาญ WordPress และ SEO กับบริษัทเสื้อยืดในรัฐเทกซัส โดยเสนอค่าจ้าง 30 ดอลลาร์ต่อชั่วโมง และเวลาทำงาน 15–20 ชั่วโมงต่อสัปดาห์
ขณะเดียวกัน กระบวนการปลอมแปลงตัวตนถูกใช้อย่างเป็นระบบ หนึ่งในสมาชิกที่ใช้ชื่อว่า “ราสคัล” ได้แชร์เอกสารเรียกเก็บเงินปลอมภายใต้ชื่อและที่อยู่ในฮ่องกง รวมถึงภาพหนังสือเดินทางไอร์แลนด์ แม้ยังไม่ชัดเจนว่าเอกสารดังกล่าวถูกนำไปใช้งานจริงหรือไม่
อย่างไรก็ตาม ZachXBT ประเมินว่า เครือข่ายแรงงานไอทีกลุ่มนี้ยังถือว่า “มีความซับซ้อนต่ำ” เมื่อเทียบกับกลุ่มแฮกระดับสูงของเกาหลีเหนืออย่าง AppleJeus และ TraderTraitor ซึ่งมีประสิทธิภาพสูงกว่า และเป็นภัยคุกคามเชิงโครงสร้างที่ร้ายแรงต่ออุตสาหกรรมคริปโต
ภาพทั้งหมดจึงสะท้อนความจริงที่ย้อนแย้งอย่างยิ่ง แม้บางกลยุทธ์จะดูพื้นฐาน แต่เมื่อถูกขับเคลื่อนด้วยโครงสร้างองค์กรและแรงจูงใจระดับรัฐ ผลลัพธ์กลับกลายเป็น “ความเสี่ยงเชิงระบบ” ที่ทั้งอุตสาหกรรมไม่อาจมองข้ามได้อีกต่อไป
