Wu a appris que le détective en chaîne ZachXBT a publié un tweet révélant qu'une fuite de données du serveur de paiement interne de la Corée du Nord montre que ses travailleurs IT ont généré environ 1 million de dollars / mois en utilisant des identités falsifiées et des conversions de crypto-monnaies en monnaies fiat. Depuis novembre 2025, les portefeuilles concernés ont reçu au total plus de 3,5 millions de dollars ; les données concernent 390 comptes et conversations, indiquant qu'ils ont été déclarés via une plateforme interne, avec un compte administrateur PC-1234 confirmant les fonds et distribuant des justificatifs. Certaines entités ont été sanctionnées par l'OFAC ; l'analyse en chaîne montre que les adresses associées sont liées à un groupe IT connu de la Corée du Nord, dont une adresse TRON a été gelée par Tether en décembre 2025. Certaines activités d'attaque ne sont pas clairement identifiées.