Северная Корея финансирует военные амбиции с помощью украденных криптовалют на сумму $2.8 млрд

Северная Корея полагается на поддерживаемые государством хакерские группы, такие как Lazarus, для финансирования своей армии, при этом украденная криптовалюта составляет почти треть ее валютных поступлений и обеспечивает стабильный, незаконный денежный поток, неуязвимый для традиционных санкций.

В отчете от 22 октября Multilateral Sanctions Monitoring Team сообщила, что с января 2024 по сентябрь 2025 года северокорейские участники организовали кражи криптовалюты на сумму не менее $2.8 миллиардов через поддерживаемые государством хакерские группы и киберпреступников, нацеленных на сектор цифровых активов.

Основная часть добычи пришлась на крупные инциденты, включая эксплойт Bybit в феврале 2025 года, который сам по себе составил примерно половину от общей суммы. В отчете эти эксплойты приписываются хорошо известным северокорейским злоумышленникам, использующим сложные методы компрометации цепочек поставок, социальной инженерии и взлома кошельков.

Совершенное вооружение Северной Кореи для краж и уклонения

Криптооперации Северной Кореи строятся вокруг замкнутой экосистемы связанных с государством хакерских групп, среди которых главные — Lazarus, Kimsuky, TraderTraitor и Andariel, чьи следы обнаруживаются почти в каждом крупном взломе цифровых активов за последние два года.

По данным аналитиков по кибербезопасности, эти команды действуют под эгидой Reconnaissance General Bureau — главного разведывательного управления Пхеньяна, координируя атаки с эффективностью, присущей частному сектору. Их основное новшество — обходить биржи и вместо этого атаковать сторонних кастодиальных провайдеров цифровых активов, которые биржи используют для безопасного хранения.

Компрометируя инфраструктуру таких компаний, как Safe(Wallet), Ginco и Liminal Custody, северокорейские злоумышленники получили мастер-ключ для похищения средств клиентов, включая Bybit, японскую DMM Bitcoin и индийскую WazirX.

Атака на DMM Bitcoin, приведшая к потере $308 миллионов и последующему закрытию биржи, была инициирована за несколько месяцев до этого, когда участник TraderTraitor, выдавая себя за рекрутера на LinkedIn, обманом заставил сотрудника Ginco открыть вредоносный файл, замаскированный под тест перед собеседованием.

Другие поддерживаемые государством группы действуют в унисон с этим основным направлением. Коллектив CryptoCore, хотя и менее технологичен, проводит масштабные атаки социальной инженерии, выдавая себя за рекрутеров и бизнес-руководителей для проникновения к целям.

Тем временем Citrine Sleet приобрела репутацию за внедрение троянизированного программного обеспечения для криптотрейдинга. В одном из подробных инцидентов в октябре 2024 года участник Citrine Sleet, выдавая себя за доверенного бывшего подрядчика в Telegram, отправил вредоносный ZIP-файл разработчику Radiant Capital, что привело к краже $50 миллионов.

Следы отмывания ведут обратно в Северную Корею

После кражи цифровые активы проходят сложный девятиступенчатый процесс отмывания, призванный скрыть их происхождение и конвертировать в используемую фиатную валюту. Киберпреступники КНДР систематически обменивают украденные токены на признанные криптовалюты, такие как Ethereum или Bitcoin, затем используют ряд миксеров, включая Tornado Cash и Wasabi Wallet.

Далее они используют кроссчейн-мосты и агрегаторы, такие как THORChain и LI.FI, чтобы перемещаться между блокчейнами, часто конвертируя смешанные активы в Tron-основанный USDT для подготовки к обналичиванию. Следователи отмечают, что вся эта операция зависит от сети внебиржевых брокеров, преимущественно в Китае, которые принимают отмытый USDT и переводят эквивалентную сумму в фиатной валюте на контролируемые КНДР банковские счета через карты Chinese UnionPay.

Эта неустанная кампания цифровых краж имеет прямые и серьезные последствия в реальном мире. Миллиарды, выкачанные из криптоэкосистемы, не исчезают в бюрократической пустоте. В отчете MSMT делается вывод, что этот поток доходов критически важен для закупки материалов и оборудования для незаконных программ КНДР по созданию оружия массового уничтожения и баллистических ракет.

Обеспечивая огромный незаконный денежный поток, неуязвимый для традиционных финансовых санкций, глобальная криптовалютная индустрия была превращена в оружие, став нерегулируемым и невольным спонсором военных амбиций Пхеньяна. Эти ограбления — не просто преступления ради прибыли; это акты государственной политики, финансирующие военное наращивание, которое угрожает глобальной безопасности.