Підвищення кількості хакерів з Північної Кореї на 51%! Щорічно крадуть 2 мільярди доларів США, викрито мережу відмивання коштів китайською мовою

Chainalysis останній звіт показує, що у 2025 році глобальні крадіжки крипто-активів склали близько 3,4 мільярдів доларів, з яких щонайменше 2,02 мільярда доларів походять від атак, пов’язаних з Північною Кореєю, що на 51% більше ніж у 2024 році (збільшення приблизно на 681 мільйон доларів), встановивши новий рекорд. Хакери з Північної Кореї становлять 76% усіх випадків зломів, загалом викравши щонайменше 6,75 мільярдів доларів крипто-активів.

Хакери з Північної Кореї домінують у 76% глобальних крадіжок крипто

(Джерело: Chainalysis)

2025 рік став найсерйознішим роком у історії північнокорейських операцій з крадіжки крипто-активів, що становить 76% усіх випадків зломів, встановивши новий рекорд. Така пропорція є надзвичайною і означає, що у кожних 4 крадіжки крипто-активів у світі, 3 пов’язані з Північною Кореєю. Ця домінуюча позиція не є випадковою, а є результатом довготривалої роботи та технічної підготовки національної кіберармії Північної Кореї.

Незаконний дохід у 2,02 мільярда доларів має стратегічне значення для Північної Кореї. За міжнародними оцінками, річний ВВП Північної Кореї становить приблизно 20-30 мільярдів доларів, тобто викрадені кошти становлять 6-10% від її ВВП. Після блокування більшості легальних торговельних каналів через санкції ООН, крадіжки крипто-активів стали одним із головних джерел валютних надходжень для Північної Кореї, які використовуються для підтримки ядерних та ракетних програм.

Річний приріст у 51% свідчить про швидке зростання можливостей хакерів з Північної Кореї. Це зростання проявляється не лише у технічних навичках, а й у ускладненні стратегій атак. Від початкових грубих фішингових атак до багатоступеневих соціальних інженерних операцій, проникнення через ланцюги постачання та внутрішніх агентів — хакери з Північної Кореї вже розробили зрілу методологію атак.

Дані атак хакерів з Північної Кореї у 2025 році

Загальна сума викрадених коштів: 2,02 мільярда доларів, що становить 76% від усіх крадіжок крипто, зростання на 51% порівняно з 2024 роком

Загальний викрадений обсяг: 6,75 мільярдів доларів з 2017 року до сьогодні, у середньому близько 840 мільйонів доларів на рік

Найбільша окрема справа: велика біржа CEX — 1,5 мільярда доларів, що становить 74% від загальної суми викраденого Північною Кореєю у 2025 році

Група Lazarus вважається тісно пов’язаною з розвідувальним управлінням Пхеньяна (RGB). Лише у період з 2020 по 2023 роки вона здійснила щонайменше 25 крадіжок крипто-активів на суму понад 200 мільйонів доларів. Ця організація понад десять років цілеспрямовано атакує фінансові установи та крипто-платформи, і підозрюється у причетності до минулого місяця до крадіжки близько 36 мільйонів доларів активів з найбільшої у Південній Кореї крипто-біржі Upbit.

Централізовані біржі — 1,5 мільярда доларів у крадіжках та стратегія подвійного проникнення

Звіт показує, що злом біржі CEX у лютому цього року — найбільша за сумою атака з боку Північної Кореї, що спричинила втрату близько 1,5 мільярда доларів. За цим інцидентом стоїть загроза-група TraderTraitor, також відома як Jade Sleet або Slow Pisces. Компанія з кібербезпеки Hudson Rock пізніше повідомила, що комп’ютер, інфікований шкідливою програмою Lumma Stealer, був пов’язаний із інфраструктурою, що використовувалася у цій атаці.

Методика зломів CEX була надзвичайно складною. Хакери не атакували безпосередньо холодні гаманці біржі, а проникали через соціальні інженерні методи до співробітників, отримуючи внутрішній доступ до систем. Потім вони рухалися по мережі до ключових систем і отримували права на управління приватними ключами. Цей ланцюг атак включає кілька етапів, кожен з яких вимагає високої технічної майстерності та терпіння.

Крім безпосереднього зломи бірж, хакери з Північної Кореї довгий час ведуть операцію під назвою «Operation Dream Job» — соціальні інженерні атаки. Вони використовують платформи LinkedIn, WhatsApp та інші, видаючи себе за рекрутерів, щоб залучити працівників оборонної, технологічної, авіаційної та виробничої галузей, пропонуючи високі зарплати, і змушують цільових осіб завантажувати та запускати шкідливе програмне забезпечення для крадіжки конфіденційних даних або створення довгострокових каналів проникнення.

Ще одна стратегія — так звані «Wagemole» операції. Пов’язані з Північною Кореєю особи під виглядом іноземних кандидатів претендують на ІТ-посади у закордонних компаніях або через підставні фірми проникають у внутрішні системи компаній, отримуючи доступ до систем та криптосервісів для здійснення високоефективних атак. Chainalysis зазначає, що цей підхід дозволяє швидше рухатися по мережі та швидше отримувати початковий доступ, що може бути однією з причин рекордних втрат цього року.

Міністерство юстиції США оголосило, що у Меріленді засуджено 40-річного чоловіка за допомогу північнокорейським особам у підробці особистих даних для роботи в ІТ-сфері. Розслідування показало, що обвинувачений дозволяв громадянину Північної Кореї, що проживає у Шеньяні (Китай), використовувати його особу для працевлаштування у кількох американських компаніях та урядових структурах, отримуючи за це майже мільйон доларів у період з 2021 по 2024 роки. Цей випадок ілюструє реальні механізми операції «Wagemole».

Три етапи переказу коштів у китайській системі відмивання

Що стосується обробки коштів, викрадені крипто-активи зазвичай проходять через структурований багатоступеневий процес відмивання. Звіт вказує, що хакери з Північної Кореї широко використовують професійні китайськомовні послуги з відмивання грошей та OTC (позасистемний обмін), що свідчить про тісний зв’язок із підземними фінансовими мережами Китаю.

Перший етап — у кілька днів після атаки — полягає у швидкому розподілі коштів через децентралізовані фінансові протоколи та сервіси змішування. Мета цього етапу — швидко розірвати пряму зв’язок між викраденими коштами та початковою адресою. Хакери дроблять великі суми на тисячі дрібних транзакцій, використовуючи Tornado Cash та інші DeFi-протоколи для багатократних переказів, ускладнюючи слідство.

Другий етап — це первинна інтеграція через біржі, міжланцюгові мости та додаткові сервіси змішування. Кошти переводять з Ethereum на BSC, Tron та інші ланцюги, використовуючи складність міжланцюгових мостів для ускладнення слідкування. Частина коштів потрапляє до менших бірж із слабким KYC, де їх обмінюють на інші крипто-активи або стабільні монети.

Останній етап — протягом приблизно 20-45 днів — це обмін на фіатні гроші або інші активи. Це найризикованіший і найважливіший етап, оскільки для перетворення крипто у фіатні гроші потрібно взаємодіяти з традиційною фінансовою системою. Хакери з Північної Кореї переважно користуються послугами китайських OTC-продавців та підземних банківських посередників, які забезпечують великі обсяги обміну крипто на фіат і через складні банківські мережі переводять кошти на контрольовані Північною Кореєю рахунки.

Висока взаємозалежність «китайської системи» викликає занепокоєння у правоохоронних органів США. Це натякає, що підземні фінансові мережі у Китаї, Гонконгу, Тайвані або Південно-Східній Азії можуть надавати ключові послуги з відмивання коштів для Північної Кореї. Така міжнародна злочинна мережа ускладнює слідство та боротьбу з нею.

Фахівці з кібербезпеки попереджають, що загрози з боку Північної Кореї постійно адаптують свої стратегії — від прямого проникнення у системи до більш прихованих і важко виявлюваних методів внутрішнього агентування та зловживання платформами. З поширенням крипто-активів і віддаленої роботи ризики зростають, ставлячи перед виконавчими органами та компаніями нові виклики у сфері безпеки.