Північна Корея фінансує військові амбіції за рахунок криптовалютних крадіжок на $2.8 млрд

Північна Корея покладається на підтримувані державою хакерські групи, такі як Lazarus, для фінансування своєї армії, причому викрадена криптовалюта становить майже третину її валютних надходжень і забезпечує постійний, незаконний грошовий потік, який не піддається традиційним санкціям.

У звіті від 22 жовтня Міжнародна група моніторингу санкцій повідомила, що з січня 2024 по вересень 2025 року північнокорейські актори організували крадіжки криптовалюти на загальну суму щонайменше $2.8 мільярда через підтримувані державою хакерські групи та кіберзлочинців, які націлювалися на сектор цифрових активів.

Основна частина здобичі походить з великих інцидентів, включаючи експлойт Bybit у лютому 2025 року, який сам по собі становив приблизно половину від загальної суми. У звіті ці експлойти приписуються відомим північнокорейським загрозливим акторам, які використовують складні методи атаки на ланцюг постачання, соціальної інженерії та компрометації гаманців.

Складний арсенал крадіжок і ухилення Північної Кореї

Криптооперації Північної Кореї обертаються навколо тісної екосистеми пов’язаних з державою хакерських груп, серед яких головні — Lazarus, Kimsuky, TraderTraitor та Andariel, чиї сліди з’являються майже у кожному великому зламі цифрових активів за останні два роки.

За словами аналітиків з кібербезпеки, ці команди діють під керівництвом Головного розвідувального управління, основного розвідувального органу Пхеньяна, координуючи атаки, які імітують ефективність приватного сектору. Їх головною інновацією стало повне обходження бірж і націлення на сторонніх кастодіальних провайдерів цифрових активів, які біржі використовують для безпечного зберігання.

Компрометуючи інфраструктуру таких компаній, як Safe(Wallet), Ginco та Liminal Custody, північнокорейські актори отримали універсальний ключ для викрадення коштів у клієнтів, включаючи Bybit, японську DMM Bitcoin та індійську WazirX.

Атака на DMM Bitcoin, яка призвела до втрати $308 мільйонів і зрештою до закриття біржі, була ініційована за кілька місяців до цього, коли актор TraderTraitor, видаючи себе за рекрутера на LinkedIn, обдурив співробітника Ginco, змусивши його відкрити шкідливий файл, замаскований під тест перед співбесідою.

Інші групи, що спонсоруються державою, діють у тісній співпраці з цією основною діяльністю. Колектив CryptoCore, хоч і менш складний, проводить атаки з високим обсягом соціальної інженерії, видаючи себе за рекрутерів та бізнес-менеджерів для проникнення до цілей.

Тим часом Citrine Sleet здобув репутацію завдяки впровадженню троянізованого програмного забезпечення для торгівлі криптовалютою. В одному з детальних інцидентів у жовтні 2024 року актор Citrine Sleet, видаючи себе за надійного колишнього підрядника у Telegram, надіслав шкідливий ZIP-файл розробнику Radiant Capital, що призвело до крадіжки на $50 мільйонів.

Ланцюг відмивання веде назад до Північної Кореї

Після викрадення цифрові активи потрапляють у складний, дев’ятиетапний процес відмивання, розроблений для приховування їхнього походження та конвертації у придатну для використання фіатну валюту. Кіберзлочинці КНДР систематично обмінюють викрадені токени на усталені криптовалюти, такі як Ethereum або Bitcoin, а потім використовують набір міксерів, включаючи Tornado Cash та Wasabi Wallet.

Далі вони використовують крос-чейн мости та агрегатори, такі як THORChain та LI.FI, щоб переміщатися між блокчейнами, часто конвертуючи змішані активи у Tron-орієнтований USDT для підготовки до виведення у готівку. Слідчі зазначають, що вся ця операція тримається на мережі позабіржових брокерів, переважно у Китаї, які приймають відмитий USDT і вносять еквівалентну суму у фіаті на банківські рахунки КНДР через китайські картки UnionPay.

Ця невпинна кампанія цифрових крадіжок має прямі та серйозні наслідки у реальному світі. Мільярди, викачані з криптоекосистеми, не зникають у бюрократичній порожнечі. Звіт MSMT робить висновок, що цей потік доходів є критично важливим для закупівлі матеріалів та обладнання для незаконних програм КНДР зі створення зброї масового знищення та балістичних ракет.

Забезпечуючи величезний, незаконний грошовий потік, який не піддається традиційним фінансовим санкціям, глобальна криптовалютна індустрія була перетворена на зброю, ставши нерегульованим і мимовільним фінансистом військових амбіцій Пхеньяна. Ці крадіжки — не просто злочини заради прибутку; це акти державної політики, що фінансують військове нарощування, яке загрожує глобальній безпеці.