Kradzież kryptowalut pozostanie kluczową strategią finansowania Korei Północnej, ostrzegają eksperci

Hakerzy z Korei Północnej odpowiadali za zdecydowaną większość naruszeń bezpieczeństwa wymierzonych w kryptowaluty w 2025 roku, a według szefa wywiadu bezpieczeństwa narodowego Chainalysis, Andrew Fiermana, zagrożenie to będzie tylko nasilać się w nadchodzących latach.

"Korea Północna zawsze będzie szukać nowych sposobów kradzieży funduszy na rzecz reżimu, czy to poprzez fiducjar, czy kryptowaluty," powiedział Fierman mediom kryptowalutowym, dodając, że "ich mechanizmy nieustannie się rozwijają, są wysoce zaawansowane, zdywersyfikowane i głęboko zakorzenione w różnych jurysdykcjach."

Jak wcześniej informował Invezz, to północnokoreańscy hakerzy odpowiadali za największą część ataków, które uderzyły w rynek kryptowalut w 2025 roku.

Przez cały rok państwowe grupy cybernetyczne odpowiadały za 76% naruszeń na poziomie usług na giełdach i depozytariuszach, skutecznie kradnąc aktywa kryptowalutowe warte co najmniej 2,02 miliarda dolarów.

Dane z 2025 roku odnotowały wzrost o 51% rok do roku, mimo niemal 74% spadku liczby potwierdzonych incydentów, co podkreśla strategiczny zwrot w kierunku mniejszej liczby, ale znacznie większej liczby incydentów.

Co ciekawe, tylko trzy incydenty odpowiadały za 69% całkowitych strat na poziomie usług, co pokazuje, że znane organizacje hakerskie, takie jak Lazarus Group i powiązane UNC5342, koncentrują się obecnie niemal wyłącznie na przekraczaniu dużych celów infrastrukturalnych, które obiecują większe i szybsze wypłaty.

Dla branży kryptowalutowej oznacza to znacznie większe straty finansowe, które mogą potencjalnie zakłócić całe ekosystemy i wytrącić fundusze ogromnej liczby inwestorów na całym świecie.

Jednym z największych incydentów roku z udziałem północnokoreańskich grup był atak na Bybit o wartości 1,5 miliarda dolarów , który wstrząsnął branżą pod koniec lutego.

W wyniku tego wycieku skradziono ponad 400 000 ETH, co doprowadziło do największego napadu na aktywa cyfrowe w historii branży kryptowalutowej.

Następowało kilka innych incydentów, w tym kradzież na 223 miliony dolarów z zdecentralizowanej giełdy Cetus oraz exploit o wartości 128 milionów dolarów wymierzony w protokół Balancer oparty na Ethereum.

Dodatkowe potwierdzone wycieki w WOO X, Seedify i LND.fi tylko powiększyły oszałamiające liczby, które uczyniły rok 2025 najbardziej udanym jak dotąd dla północnokoreańskich hakerów.

W ciągu ostatnich kilku miesięcy zauważono, że północnokoreańscy aktorzy używają różnych wektorów ataku do przełamania celów.

Na przykład w październiku odkryto, że osadzali złośliwe oprogramowanie w Ethereum i BNB Chain smart contracts w ramach kampanii stealth powiązanej teraz z państwową grupą UNC5342.

Na całym świecie główne gospodarki, takie jak Stany Zjednoczone, Korea Południowa, Australia oraz członkowie Unii Europejskiej, wprowadziły ukierunkowane sankcje wobec infrastruktury cyberprzestępczej Korei Północnej, aby ograniczyć jej nielegalne generowanie dochodów.

Jednak samo to może nie wystarczyć, według Andrew Fiermana, który zauważył, że zakłócenie operacji Korei Północnej wymaga skoordynowanych działań w całej branży, w tym na giełdach, usługach infrastruktury, firmach analitycznych i organach ścigania.

Fierman ostrzegł, że reżim będzie nadal polegał na kradzieży kryptowalut jako głównym źródle dochodów, zwłaszcza w miarę zaostrzania międzynarodowych sankcji i kurczenia się innych źródeł dochodu.

Ewolucja technik prania kryptowalut

Po kradzieży środków proces ich prania dodatkowo pogłębia problem, co utrudnia działania odzyskiwacze i przekształca zagrożenie w trwałe i systemowe zagrożenie dla szerszego ekosystemu kryptowalut.

"Skradzione środki przebiegają różnorodnymi ścieżkami prania, w tym usługami miksowania, brokerami OTC, przeskakiwaniem między łańcuchami, swapami tokenów, zdecentralizowanymi giełdami oraz protokołami mostkowymi do niejasnych przepływów" – powiedział Fierman.

Niektóre z technik stosowanych przez grupy północnokoreańskie to tzw. chińska sieć pralni, która obejmuje brokerów pozagiełdowych, kanały bankowe podziemne oraz transgraniczne przekaźniki pieniędzy, głównie w Chinach i Azji Południowo-Wschodniej.

Po stronie technicznej polegają na złożonych trasach mostów międzyłańcuchowych oraz rotacji usług mieszania, aby fragmentować skradzione aktywa na blockchainach. Często są one wycofywane za pomocą luźno regulowanych platform chińskojęzycznych z niskimi wymaganiami KYC.

Chociaż cyberataki Korei Północnej dotyczą także obszarów poza sektorem kryptowalut, branża kryptowalut pozostaje szczególnie atrakcyjnym celem, głównie ze względu na płynność, globalną dostępność oraz rozproszony nadzór.

W zeszłym miesiącu, podczas konferencji Devconnect w Buenos Aires, założyciel firmy audytorskiej Web3 Opssek, Pablo Sabbatella, ostrzegł, że około 30% do 40% kandydatów napływających na stanowiska w kryptowalutach może stanowić północnokoreańskie próby zdobycia dostępu do informacji poufnych poprzez fałszywe tożsamości.