Kryptotyveri vil forbli en kjerne finansieringsstrategi for Nord-Korea, advarer eksperten

Nordkoreanske hackere sto bak det store flertallet av sikkerhetsbrudd rettet mot krypto i 2025, og trusselen forventes bare å øke i årene som kommer, ifølge Chainalysis' sjef for nasjonal sikkerhetsetterretning, Andrew Fierman.

«Nord-Korea vil alltid søke nye kanaler for å stjele midler på vegne av regimet, enten gjennom fiat eller krypto», sa Fierman til kryptomedier, og la til at «deres mekanismer stadig utvikler seg, og er svært sofistikerte, diversifiserte og dypt forankret på tvers av jurisdiksjoner.»

Som tidligere rapportert av Invezz, sto nordkoreanske hackere bak hoveddelen av angrepene som rammet kryptovalutamarkedet i 2025.

Gjennom året var statlig støttede cybergrupper ansvarlige for 76 % av tjenestenivå-kompromitteringer mellom børser og depoter, og de stjal med suksess kryptoeiendeler verdt minst 2,02 milliarder dollar.

Tallene for 2025 markerte en økning på 51 % år-til-år, til tross for en nesten 74 % nedgang i totalt antall bekreftede hendelser, noe som understreker et strategisk skifte mot færre, men betydelig større hendelser.

Interessant nok var det bare tre hendelser alene som sto for 69 % av de totale tapene på tjenestenivå, noe som viser at beryktede hackerorganisasjoner som Lazarus Group og tilknyttede UNC5342 nå nesten utelukkende fokuserer på å bryte store infrastrukturmål som lover større og raskere utbetalinger.

For kryptoindustrien betyr dette betydelig større økonomiske tap som potensielt kan forstyrre hele økosystemer og utslette midlene til et stort antall investorer over hele verden.

En av de største hendelsene i år som involverte nordkoreanske grupper, var Bybit-hackingen på 1,5 milliarder dollar som rystet industrien i slutten av februar.

Over 400 000 ETH ble stjålet i bruddet, noe som førte til det største digitale tyverynet i kryptoindustriens historie.

Flere andre hendelser fulgte, inkludert tyveriet på 223 millioner dollar fra den desentraliserte børsen Cetus, og en exploit på 128 millioner dollar rettet mot den Ethereum-baserte protokollen Balancer.

Ytterligere bekreftede innbrudd hos WOO X, Seedify og LND.fi la bare til de svimlende tallene som gjorde 2025 til det mest suksessrike året til dags dato for nordkoreanske hackere.

I løpet av de siste månedene har det blitt funnet at nordkoreanske aktører bruker ulike angrepsvektorer for å bryte inn i mål.

For eksempel ble det i oktober oppdaget at de innebygde skadelig programvare i Ethereum- og BNB-kjede-smartkontrakter som en del av en skjult kampanje som nå er knyttet til den statsstøttede gruppen UNC5342.

Over hele verden har store økonomier som USA, Sør-Korea, Australia og EU-medlemmer innført målrettede sanksjoner mot Nord-Koreas cyberkriminalitetsinfrastruktur i et forsøk på å begrense landets ulovlige inntektsgenerering.

Men det alene er kanskje ikke nok, ifølge Andrew Fierman, som påpekte at det å forstyrre Nord-Koreas operasjoner krever koordinert handling på tvers av hele bransjen, inkludert børser, infrastrukturleverandører, analysefirmaer og rettshåndhevende etater.

Fierman advarte om at regimet forventes å fortsette å stole på kryptotyveri som en primær inntektskilde, spesielt ettersom internasjonale sanksjoner strammes inn og andre inntektskanaler krymper.

Utviklende teknikker for hvitvasking av krypto

Når midlene er stjålet, forverrer prosessen med å hvitvaske dem problemet ytterligere, noe som gjør gjenopprettingsarbeidet ekstremt vanskelig og forvandler trusselen til en vedvarende og systemisk risiko for det bredere kryptoøkosystemet.

«Stjålne midler følger ulike hvitvaskingsveier, inkludert blanding av tjenester, OTC-meglere, kjedehopping, tokenbytter, desentraliserte børser og broprotokoller for å skjule flytene,» sa Fierman.

Noen av teknikkene brukt av nordkoreanske grupper inkluderer det såkalte kinesiske vaskeriet, som består av over-the-counter meglere, underjordiske bankkanaler og grenseoverskridende pengeoverføringer basert hovedsakelig i Kina og Sørøst-Asia.

På den tekniske siden er de avhengige av komplekse krysskjede-broruter og en rotasjon av miksetjenester for å fragmentere de stjålne eiendelene på tvers av blokkjedene. Disse trekkes ofte tilbake gjennom løst regulerte kinesiskspråklige plattformer med svake KYC-krav.

Selv om Nord-Koreas cyberangrep også retter seg mot områder utenfor kryptosektoren, forblir kryptoindustrien et spesielt attraktivt mål, hovedsakelig på grunn av sin likviditet, globale tilgjengelighet og fragmenterte tilsyn.

Forrige måned, under Devconnect-konferansen i Buenos Aires, advarte web3-revisjonsfirmaet Opseks grunnlegger Pablo Sabbatella om at omtrent 30 % til 40 % av søkerne som strømmer inn i kryptojobber kan være nordkoreanske forsøk på å få innsidetilgang gjennom falske identiteter.