Ang $2.8b crypto heist ng North Korea ay pinopondohan ang ambisyong militar

Ang North Korea ay umaasa sa mga state-backed hacking group tulad ng Lazarus upang pondohan ang kanilang militar, kung saan ang ninakaw na crypto ay bumubuo ng halos isang-katlo ng kanilang kinikita sa foreign currency at nagbibigay ng tuloy-tuloy, iligal na daloy ng pera na hindi naaapektuhan ng tradisyonal na mga parusa.

Sa isang ulat noong Oktubre 22, sinabi ng Multilateral Sanctions Monitoring Team na mula Enero 2024 hanggang Setyembre 2025, ang mga North Korean actor ay nagsagawa ng mga crypto theft na umabot ng hindi bababa sa $2.8 billion, sa pamamagitan ng mga state-backed hacking group at cyber-actor na tumatarget sa digital-assets sector.

Ang malaking bahagi ng nakulimbat ay nagmula sa malalaking insidente, kabilang ang exploit sa Bybit noong Pebrero 2025, na nagkakahalaga ng halos kalahati ng kabuuan. Iniuugnay ng ulat ang mga exploit na ito sa mga kilalang North Korean threat actor na gumagamit ng mga sopistikadong supply-chain, social-engineering, at wallet-compromise na mga pamamaraan.

Sopistikadong arsenal ng pagnanakaw at pag-iwas ng North Korea

Ang mga crypto operation ng North Korea ay umiikot sa isang mahigpit na ekosistema ng mga state-linked hacker group, pangunahin na ang Lazarus, Kimsuky, TraderTraitor, at Andariel, na ang mga bakas ay makikita sa halos lahat ng malalaking digital asset breach sa nakaraang dalawang taon.

Ayon sa mga cybersecurity analyst, ang mga team na ito ay kumikilos sa ilalim ng Reconnaissance General Bureau, pangunahing intelligence arm ng Pyongyang, na nagkokordina ng mga pag-atake na ginagaya ang pagiging episyente ng private sector. Ang kanilang pangunahing inobasyon ay ang pag-iwas sa mga exchange at sa halip ay pagtutok sa mga third-party digital asset custody provider na ginagamit ng mga exchange para sa secure na storage.

Sa pamamagitan ng pagkompromiso sa infrastructure ng mga kumpanya tulad ng Safe(Wallet), Ginco, at Liminal Custody, nakuha ng mga North Korean actor ang master key upang nakawin ang pondo mula sa mga kliyente kabilang ang Bybit, Japan’s DMM Bitcoin, at India’s WazirX.

Ang pag-atake sa DMM Bitcoin, na nagresulta sa $308 million na pagkawala at kalaunan ay pagsasara ng exchange, ay sinimulan ilang buwan bago nang magpanggap ang isang TraderTraitor actor bilang recruiter sa LinkedIn at nilinlang ang isang empleyado ng Ginco na magbukas ng isang malicious file na nagkunwaring pre-interview test.

Ang iba pang state-sponsored group ay kumikilos kasabay ng pangunahing operasyong ito. Ang CryptoCore collective, bagama’t hindi kasing sopistikado, ay nagsasagawa ng high-volume social engineering, nagpapanggap bilang recruiter at business executive upang makapasok sa mga target.

Samantala, ang Citrine Sleet ay nakilala sa paggamit ng trojanized cryptocurrency trading software. Sa isang detalyadong insidente noong Oktubre 2024, isang Citrine Sleet actor na nagkunwaring dating kontratista sa Telegram ang nagpadala ng malicious ZIP file sa isang developer ng Radiant Capital, na nagresulta sa $50 million na pagnanakaw.

Ang trail ng money laundering ay bumabalik sa North Korea

Kapag nanakaw na, ang mga digital asset ay dumadaan sa isang komplikadong siyam na hakbang na proseso ng money laundering na idinisenyo upang itago ang pinagmulan at gawing fiat currency na magagamit. Sistematikong pinapalit ng mga cyber actor ng DPRK ang mga ninakaw na token sa mga kilalang cryptocurrency tulad ng Ethereum o Bitcoin, pagkatapos ay gumagamit ng mga mixing service kabilang ang Tornado Cash at Wasabi Wallet.

Pagkatapos ay ginagamit nila ang mga cross-chain bridge at aggregator tulad ng THORChain at LI.FI upang lumipat-lipat sa pagitan ng mga blockchain, kadalasang ginagawang Tron-based USDT ang mga mixed asset bilang paghahanda sa pag-cash out. Ayon sa mga imbestigador, ang buong operasyong ito ay nakasalalay sa isang network ng over-the-counter broker, karamihan ay nasa China, na tumatanggap ng nilabhang USDT at nagdedeposito ng katumbas na fiat currency sa mga bank account na kontrolado ng DPRK gamit ang Chinese UnionPay cards.

Ang walang humpay na kampanyang ito ng digital theft ay may direktang at seryosong epekto sa totoong mundo. Ang bilyong dolyar na nawawala mula sa crypto ecosystem ay hindi basta-basta nawawala sa isang burukratikong kawalan. Tinukoy ng MSMT report na ang daloy ng kita na ito ay kritikal para sa pagbili ng mga materyales at kagamitan para sa ilegal na weapons of mass destruction at ballistic missile program ng DPRK.

Sa pagbibigay ng napakalaking, iligal na daloy ng pera na hindi naaapektuhan ng tradisyonal na financial sanctions, ang pandaigdigang cryptocurrency industry ay nagamit bilang sandata, nagiging isang hindi regulado at hindi sinasadyang financier ng mga ambisyong militar ng Pyongyang. Ang mga pagnanakaw na ito ay hindi lamang mga krimen para sa kita; mga gawa ito ng state policy, pinopondohan ang military buildup na nagbabanta sa pandaigdigang seguridad.