تحذر خبراء من أن سرقة العملات الرقمية ستظل استراتيجية تمويل أساسية لكوريا الشمالية

كان القراصنة الكوريون الشماليون وراء الغالبية العظمى من اختراقات الأمن المستهدفة بالعملات الرقمية في عام 2025، ومن المتوقع أن يتفاقم التهديد في السنوات القادمة، وفقا لرئيس قسم الأمن القومي في تشيناليسيس، أندرو فيرمان.

قال فيرمان لوسائل الإعلام الرقمية: "ستبحث كوريا الشمالية دائما عن طرق جديدة لسرقة الأموال نيابة عن النظام، سواء عبر الورقية أو العملات الرقمية"، مضيفا أن "آلياتهم تتطور باستمرار، وهي متطورة للغاية ومتنوعة ومتغلغلة بعمق عبر الولايات القضائية."

كما أفادت Invezz سابقا، كان القراصنة الكوريون الشماليون وراء الحصة الأكبر من الهجمات التي ضربت مجال العملات الرقمية في عام 2025.

على مدار العام، كانت مجموعات الأمن السيبراني المدعومة من الدولة مسؤولة عن 76٪ من اختراقات مستوى الخدمة عبر البورصات وأصحاب الأمناء، حيث سرقت أصولا عملا مشفرة بقيمة لا تقل عن 2.02 مليار دولار.

شهدت أرقام عام 2025 زيادة بنسبة 51٪ على أساس سنوي، رغم انخفاض يقارب 74٪ في إجمالي الحوادث المؤكدة، مما يبرز تحولا استراتيجيا نحو عدد أقل من الحوادث ولكن بشكل أكبر بكثير.

ومن المثير للاهتمام أن ثلاث حوادث فقط كانت مسؤولة عن 69٪ من إجمالي خسائر مستوى الخدمة، مما يثبت أن مجموعات الاختراق الشهيرة مثل مجموعة لازاروس و UNC5342 التابعة لها تركز الآن تقريبا بالكامل على اختراق أهداف البنية التحتية الكبيرة التي تعد بعوائد أكبر وأسرع.

بالنسبة لصناعة العملات المشفرة، يترجم هذا إلى خسائر مالية أكبر بكثير قد تعطل النظم البيئية بأكملها وتمحو أموال أعداد هائلة من المستثمرين حول العالم.

واحدة من أكبر الحوادث في العام التي شاركت فيها مجموعات كورية شمالية كانت عملية اختراق بايبيت بقيمة 1.5 مليار دولار التي هزت الصناعة في أواخر فبراير.

تمت سرقة أكثر من 400,000 إيث في هذا الخرق، مما أدى إلى أكبر عملية سرقة للأصول الرقمية في تاريخ صناعة العملات الرقمية.

تبع ذلك عدة حوادث أخرى، منها سرقة بقيمة 223 مليون دولار من منصة Cetus اللامركزية، واستغلال بقيمة 128 مليون دولار استهدف بروتوكول Balancer القائم على الإيثيريوم.

أضافت الاختراقات المؤكدة الإضافية في WOO X وSeedify و LND.fi إلى الأرقام المذهلة التي جعلت عام 2025 أنجح عام حتى الآن لقراصنة كوريا شماليين.

خلال الأشهر القليلة الماضية، تم اكتشاف أن الجهات الكورية الشمالية تستخدم مجموعة متنوعة من مسارات الهجوم لاختراق الأهداف. 

على سبيل المثال، في أكتوبر الماضي، تبين أنهم يدمجون برمجيات خبيثة داخل عقود إيثيريوم وسلسلة BNB الذكية كجزء من حملة سرية مرتبطة الآن بمجموعة UNC5342 المدعومة من الدولة.

في جميع أنحاء العالم، فرضت اقتصادات كبرى مثل الولايات المتحدة وكوريا الجنوبية وأستراليا وأعضاء الاتحاد الأوروبي عقوبات مستهدفة على بنية كوريا الشمالية التحتية للجرائم الإلكترونية في محاولة للحد من تحقيق الإيرادات غير القانونية لديها. 

لكن هذا وحده قد لا يكون كافيا، وفقا لأندرو فيرمان، الذي أشار إلى أن تعطيل عمليات كوريا الشمالية يتطلب اتخاذ إجراءات منسقة عبر الصناعة بأكملها، بما في ذلك البورصات، ومزودي البنية التحتية، وشركات التحليلات، ووكالات إنفاذ القانون.

حذر فيرمان من أن النظام من المتوقع أن يستمر في الاعتماد على سرقة العملات الرقمية كمصدر دخل رئيسي، خاصة مع تشديد العقوبات الدولية وتقلص قنوات الدخل الأخرى.

تطوير تقنيات غسل العملات الرقمية

بمجرد سرقة الأموال، تزيد عملية غسلها من المشكلة أكثر تعقيدا، مما يجعل جهود الاسترداد صعبة للغاية ويحول التهديد إلى خطر مستمر ونظامي على منظومة العملات الرقمية الأوسع.

قال فيرمان: "تتبع الأموال المسروقة مسارات غسل متنوعة، بما في ذلك خدمات الخلط، وسماسرة البورصة، والتنقل بين السلاسل، ومبادلات الرموز، والبورصات اللامركزية، وبروتوكولات الجسر لتدفقات غامضة."

بعض التقنيات التي تستخدمها المجموعات الكورية الشمالية تشمل ما يسمى بشبكة المغسلات الصينية، التي تضم وسطاء خارج البورصة، وقنوات مصرفية سرية، وأجهزة إرسال أموال عبر الحدود مقرها بشكل رئيسي في الصين وجنوب شرق آسيا.

من الناحية التقنية، يعتمدون على مسارات جسور معقدة عبر السلاسل وتدوير خدمات المزج لتجزئة الأصول المسروقة عبر البلوكشين. غالبا ما يتم سحب هذه الأنظمة من خلال منصات ناطقة باللغة الصينية ذات متطلبات ضعيفة لاتفاقية اعرف عميل.

على الرغم من أن هجمات كوريا الشمالية السيبرانية تستهدف أيضا مناطق تتجاوز قطاع العملات الرقمية، إلا أن صناعة العملات الرقمية تظل هدفا جذابا بشكل خاص، ويرجع ذلك أساسا إلى سيولتها وسهولة الوصول إليها عالميا ورقابة مجزأة.

في الشهر الماضي، خلال مؤتمر Devconnect في بوينس آيرس، حذر مؤسس شركة التدقيق على الويب 3 Opsek، بابلو ساباتيلا من أن حوالي 30٪ إلى 40٪ من المتقدمين الذين يتدفقون إلى وظائف العملات الرقمية قد يكونون محاولات كورية شمالية للحصول على وصول داخلي عبر هويات مزيفة.