Korea Północna finansuje swoje militarne ambicje dzięki kradzieży kryptowalut o wartości 2,8 miliarda dolarów

Korea Północna polega na wspieranych przez państwo grupach hakerskich, takich jak Lazarus, aby finansować swoją armię, przy czym skradzione kryptowaluty stanowią prawie jedną trzecią jej dochodów w walutach obcych i zapewniają stały, nielegalny przepływ gotówki odporny na tradycyjne sankcje.

W raporcie z 22 października Multilateral Sanctions Monitoring Team poinformował, że między styczniem 2024 a wrześniem 2025 roku północnokoreańscy aktorzy przeprowadzili kradzieże kryptowalut o łącznej wartości co najmniej 2,8 miliarda dolarów, wykorzystując wspierane przez państwo grupy hakerskie i cyberprzestępców atakujących sektor aktywów cyfrowych.

Większość łupów pochodziła z dużych incydentów, w tym z exploita Bybit z lutego 2025 roku, który sam w sobie stanowił około połowy całości. Raport przypisuje te exploity znanym północnokoreańskim aktorom zagrożeń, wykorzystującym zaawansowane metody ataków na łańcuch dostaw, inżynierii społecznej i kompromitacji portfeli.

Sofistykowany arsenał kradzieży i unikania Korei Północnej

Operacje kryptowalutowe Korei Północnej koncentrują się wokół ścisłego ekosystemu powiązanych z państwem grup hakerskich, z których najważniejsze to Lazarus, Kimsuky, TraderTraitor i Andariel, których ślady pojawiają się niemal w każdym większym naruszeniu aktywów cyfrowych w ciągu ostatnich dwóch lat.

Zgodnie z analizami specjalistów ds. cyberbezpieczeństwa, zespoły te działają pod egidą Reconnaissance General Bureau, głównej agencji wywiadowczej Pjongjangu, koordynując ataki na wzór efektywności sektora prywatnego. Ich główną innowacją było całkowite ominięcie giełd i skierowanie ataków na zewnętrznych dostawców usług powierniczych aktywów cyfrowych, z których korzystają giełdy do bezpiecznego przechowywania środków.

Dzięki kompromitacji infrastruktury firm takich jak Safe(Wallet), Ginco i Liminal Custody, północnokoreańscy aktorzy uzyskali klucz główny do kradzieży środków od klientów, w tym Bybit, japońskiej DMM Bitcoin i indyjskiej WazirX.

Atak na DMM Bitcoin, który doprowadził do straty 308 milionów dolarów i ostatecznego zamknięcia giełdy, został zapoczątkowany kilka miesięcy wcześniej, gdy aktor TraderTraitor, podszywając się pod rekrutera na LinkedIn, zwiódł pracownika Ginco do otwarcia złośliwego pliku udającego test przed rozmową kwalifikacyjną.

Inne grupy sponsorowane przez państwo działają w porozumieniu z tym głównym wysiłkiem. Kolektyw CryptoCore, choć mniej zaawansowany, prowadzi działania na dużą skalę w zakresie inżynierii społecznej, podszywając się pod rekruterów i dyrektorów firm, aby infiltrować cele.

Tymczasem Citrine Sleet zyskał reputację dzięki wdrażaniu zainfekowanego oprogramowania do handlu kryptowalutami. W jednym szczegółowym incydencie z października 2024 roku aktor Citrine Sleet, podszywając się pod zaufanego byłego kontrahenta na Telegramie, dostarczył złośliwy plik ZIP deweloperowi Radiant Capital, co doprowadziło do kradzieży 50 milionów dolarów.

Szlak prania pieniędzy prowadzi z powrotem do Korei Północnej

Po kradzieży aktywa cyfrowe trafiają do złożonego, dziewięcioetapowego procesu prania pieniędzy, mającego na celu ukrycie ich pochodzenia i zamianę na użyteczną walutę fiducjarną. Cyberprzestępcy z KRLD systematycznie zamieniają skradzione tokeny na uznane kryptowaluty, takie jak Ethereum lub Bitcoin, a następnie korzystają z szeregu usług mieszających, w tym Tornado Cash i Wasabi Wallet.

Następnie wykorzystują mosty cross-chain i agregatory, takie jak THORChain i LI.FI, aby przeskakiwać między blockchainami, często zamieniając wymieszane aktywa na USDT oparty na Tron, przygotowując je do wypłaty. Śledczy twierdzą, że cała ta operacja opiera się na sieci brokerów OTC, głównie w Chinach, którzy przyjmują wyprane USDT i wpłacają równowartość waluty fiducjarnej na konta bankowe kontrolowane przez KRLD za pośrednictwem chińskich kart UnionPay.

Ta nieustanna kampania cyfrowych kradzieży ma bezpośrednie i poważne konsekwencje w świecie rzeczywistym. Miliardy wyprowadzone z ekosystemu kryptowalut nie znikają w biurokratycznej próżni. Raport MSMT stwierdza, że ten strumień dochodów jest kluczowy dla pozyskiwania materiałów i sprzętu do nielegalnych programów broni masowego rażenia i rakiet balistycznych KRLD.

Dostarczając ogromny, nielegalny przepływ gotówki odporny na tradycyjne sankcje finansowe, globalny przemysł kryptowalutowy został uzbrojony, stając się nieregulowanym i niechcianym finansistą militarnych ambicji Pjongjangu. Te kradzieże to nie tylko przestępstwa dla zysku; to akty polityki państwowej, finansujące rozbudowę wojska, która zagraża bezpieczeństwu globalnemu.