С января 2025 года хакерские группировки, ассоциируемые с Северной Кореей, похитили криптоактивы на сумму свыше 2,02 миллиардов долларов. Наиболее масштабным инцидентом стало проникновение на платформу Bybit в начале года.
Действия злоумышленников, связанных с КНДР, стали основной причиной значительного увеличения объёма краж цифровых активов в 2025 году: с начала периода их добычей стали как минимум 2,02 миллиарда долларов в криптовалюте. Совокупная стоимость активов, незаконно присвоенных в результате взломов и мошеннических схем с января по начало декабря, достигла 3,4 миллиарда долларов.
Согласно отчёту аналитиков Chainalysis, в текущем году хищения, совершённые северокорейскими акторами, побили все рекорды: на их долю приходится 76% всех успешных компрометаций криптовалютных сервисов.
Благодаря «успехам» 2025 года, общий объём средств, похищенных КНДР в цифровой валюте, достиг отметки в 6,75 миллиарда долларов.
Взлом биржи Bybit в феврале стал для КНДР самым прибыльным предприятием: тогда было украдено приблизительно 1,5 миллиарда долларов в криптовалюте. Атаку приписывают кластеру угроз TraderTraitor (также известному как Jade Sleet и Slow Pisces).
В начале декабря специалисты компании Hudson Rock обнаружили инфраструктуру, напрямую связанную со взломом Bybit. Это произошло после того, как один из операторов этой инфраструктуры сам стал жертвой используемого им вредоносного ПО — Lumma Stealer. Ключевой зацепкой стал email trevorgreer9312@gmail[.]com, который фигурировал в более ранних операциях APT-группы Lazarus.
TraderTraitor, по всей видимости, является одним из подразделений Lazarus.
С этой же группой связали атаку на южнокорейскую криптобиржу Upbit, в ходе которой злоумышленники завладели активами на 36 миллионов долларов.
Группа Lazarus связана с Разведывательным управлением КНДР. По оценкам экспертов, в период с 2020 по 2023 год она похитила не менее 200 миллионов долларов в результате более 25 успешных атак на криптовалютные платформы. Как нетрудно заметить, аппетиты Северной Кореи в этой сфере только растут.
Помимо систематических краж криптовалют, Lazarus и связанные с ней субъекты активно внедряют фиктивных IT-специалистов в различные международные компании. Иногда они действуют от лица отдельных лиц, а иногда — создают целые фирмы-однодневки, такие как DredSoftLabs и Metamint Studio. Конечная цель — получение привилегированного доступа к криптосервисам и выгодных позиций для проведения мошеннических операций, которые в итоге могут нанести катастрофический ущерб репутации компаний.
Данная афера получила кодовое обозначение Wagemole.
Похищенные средства переводятся посредством китайских платёжных систем, а также через кроссчейн-мосты, микшеры и специализированные торговые площадки, например, Huione. Это помогает в определённой степени скрыть происхождение денег и легализовать незаконно полученные суммы.
Украденные активы подвергаются многоступенчатой процедуре отмывания, занимающей до 45 дней с момента первоначальной атаки. Процесс можно разделить на три ключевые фазы.
Первая — это немедленное расслоение (дни 0-5). На этой стадии средства максимально дистанцируются от источника с использованием криптомиксеров и DeFi-протоколов.
Вторая фаза — первоначальная интеграция (дни 6-10). Она предполагает перевод средств на криптобиржи, сервисы вторичного смешивания и кроссчейн-мосты, такие как XMRt.
Третья, заключительная фаза отмывания, происходит с 20-го по 45-й день. Она включает использование сервисов, которые облегчают конечную конвертацию в фиатные деньги или иные активы.
«Активное привлечение профессиональных китайских структур для отмывания денег, а также внебиржевых (OTC) трейдеров говорит о тесных связях северокорейских хакерских групп с незаконными организациями по всему Азиатско-Тихоокеанскому региону. Это соответствует исторической практике Пхеньяна по использованию сетей, базирующихся в Китае, для проникновения в международную финансовую систему», — отмечается в отчёте Chainalisys.
«Деятельность северокорейских хакеров представляет двойную угрозу: помимо прямого ущерба, они своим примером демонстрируют другим враждебным группам, какие методы практически гарантированно работают», — пояснил Дмитрий Пешков, эксперт по кибербезопасности компании SEQ.
По его словам, вполне вероятен сценарий, при котором появятся подражатели, которые станут применять методику северокорейских хакеров в атаках под чужим флагом.
«Как известно, пожар проще предотвратить, чем тушить, и это в полной мере относится к кибератакам. Необходимо исходить из того, что если в защите есть уязвимости, ими непременно попытаются воспользоваться», — добавил специалист.
