Kryptotyveri vil forblive en kernestrategi for finansiering af Nordkorea, advarer eksperten

Nordkoreanske hackere stod bag langt størstedelen af sikkerhedsbrud rettet mod krypto i 2025, og truslen forventes kun at blive forstærket i de kommende år, ifølge Chainalysis' chef for national sikkerhedsefterretning, Andrew Fierman.

"Nordkorea vil altid søge nye kanaler til at stjæle midler på regimets vegne, hvad enten det er gennem fiat eller krypto," sagde Fierman til kryptomedier og tilføjede, at "deres mekanismer er i konstant udvikling og er meget sofistikerede, diversificerede og dybt indlejrede på tværs af jurisdiktioner."

Som tidligere rapporteret af Invezz, stod nordkoreanske hackere bag størstedelen af angrebene, der ramte kryptovalutamarkedet i 2025.

I løbet af året var statsstøttede cybergrupper ansvarlige for 76 % af serviceniveau-kompromitteringer på tværs af børser og depoter, og de stjal med succes mindst 2,02 milliarder dollars i kryptoaktiver.

Tallene for 2025 markerede en stigning på 51 % år-til-år, på trods af et næsten 74 % fald i det samlede antal bekræftede hændelser, hvilket understreger et strategisk skift mod færre, men væsentligt større hændelser.

Interessant nok var det kun tre hændelser, der alene stod for 69% af de samlede tab på serviceniveau, hvilket viser, at berygtede hackergrupper som Lazarus Group og de tilknyttede UNC5342 nu næsten udelukkende fokuserer på at bryde store infrastrukturmål, der lover større og hurtigere udbetalinger.

For kryptoindustrien betyder dette betydeligt større økonomiske tab, som potentielt kan forstyrre hele økosystemer og udslette kapitalen hos et stort antal investorer verden over.

En af årets største hændelser med nordkoreanske grupper var Bybit-hacket til en værdi af 1,5 milliarder dollars , som rystede industrien tilbage i slutningen af februar.

Over 400.000 ETH blev stjålet i bruddet, hvilket førte til det største digitale aktivtyveri i kryptoindustriens historie.

Flere andre hændelser fulgte, herunder tyveriet til 223 millioner dollars fra den decentrale børs Cetus og et exploit til 128 millioner dollars rettet mod den Ethereum-baserede protokol Balancer.

Yderligere bekræftede brud hos WOO X, Seedify og LND.fi tilføjede kun til de svimlende tal, der gjorde 2025 til det mest succesfulde år til dato for nordkoreanske hackere.

I løbet af de seneste måneder er det blevet konstateret, at nordkoreanske aktører bruger forskellige angrebsretninger til at bryde ind i mål.

For eksempel blev de tilbage i oktober opdaget i at indlejre malware i Ethereum- og BNB Chain-smartkontrakter som led i en hemmelig kampagne, der nu er forbundet med den statsstøttede gruppe UNC5342.

Over hele verden har store økonomier som USA, Sydkorea, Australien og EU-medlemmer indført målrettede sanktioner mod Nordkoreas cyberkriminalitetsinfrastruktur i et forsøg på at begrænse landets ulovlige indtægtsgenerering.

Men det alene er måske ikke nok, ifølge Andrew Fierman, som bemærkede, at forstyrrelse af Nordkoreas operationer kræver koordineret indsats på tværs af hele branchen, herunder børser, infrastrukturudbydere, analysefirmaer og retshåndhævende myndigheder.

Fierman advarede om, at regimet forventes fortsat at stole på kryptotyveri som en primær indtægtskilde, især efterhånden som internationale sanktioner strammes, og andre indtægtskanaler skrumper.

Udviklende krypto-hvidvaskningsteknikker

Når midlerne først er stjålet, forværres problemet yderligere , hvilket gør genvindingsarbejdet ekstremt vanskeligt og forvandler truslen til en vedvarende og systemisk risiko for det bredere kryptoøkosystem.

"Stjålne midler følger forskellige hvidvaskningsveje, herunder mixing-tjenester, OTC-mæglere, kæde-hop, token-swaps, decentraliserede børser og brobroprotokoller for at skjule flows," sagde Fierman.

Nogle af de teknikker, som nordkoreanske grupper bruger, inkluderer det såkaldte kinesiske vaskerinetværk, som består af over-the-counter mæglere, undergrundsbankkanaler og grænseoverskridende pengeoverførere, hovedsageligt baseret i Kina og Sydøstasien.

På den tekniske side er de afhængige af komplekse cross-chain broruter og en rotation af mixing-tjenester for at fragmentere de stjålne aktiver på tværs af blockchains. Disse trækkes ofte tilbage gennem løst regulerede kinesisksprogede platforme med svage KYC-krav.

Selvom Nordkoreas cyberangreb også rammer områder uden for kryptosektoren, forbliver kryptoindustrien et særligt attraktivt mål, hovedsageligt på grund af dens likviditet, globale tilgængelighed og fragmenterede tilsyn.

Sidste måned, under Devconnect-konferencen i Buenos Aires, advarede web3-revisionsfirmaet Opseks grundlægger Pablo Sabbatella om, at cirka 30% til 40% af ansøgerne, der strømmer ind i kryptojobs, kan være nordkoreanske forsøg på at få insideradgang gennem falske identiteter.