Kryptostöld kommer att förbli en kärnfinansieringsstrategi för Nordkorea, varnar experten

Nordkoreanska hackare låg bakom majoriteten av säkerhetsintrång riktade mot krypto 2025, och hotet förväntas bara öka under de kommande åren, enligt Chainalysis chef för nationell säkerhetsunderrättelsetjänst, Andrew Fierman.

"Nordkorea kommer alltid att söka nya vägar för att stjäla medel åt regimen, vare sig det är genom fiat eller krypto," sade Fierman till crypto media och tillade att "deras mekanismer ständigt utvecklas och är mycket sofistikerade, diversifierade och djupt förankrade över jurisdiktioner."

Som tidigare rapporterats av Invezz låg nordkoreanska hackare bakom lejonparten av attackerna som drabbade kryptovalutamarknaden 2025.

Under året stod statligt stödda cybergrupper för 76 % av tjänstenivå-komprometteringar mellan börser och förvaringsbolag, och lyckades stjäla kryptotillgångar värda minst 2,02 miljarder dollar.

Siffrorna för 2025 markerade en ökning med 51 % jämfört med föregående år, trots en nästan 74 % minskning av det totala antalet bekräftade incidenter, vilket visar på en strategisk förskjutning mot färre men betydligt större incidenter.

Intressant nog var det bara tre incidenter som stod för 69 % av de totala förlusterna på servicenivå, vilket visar att ökända hackarorganisationer som Lazarus Group och de anslutna UNC5342 nu nästan uteslutande fokuserar på att bryta mot stora infrastrukturmål som lovar större och snabbare utbetalningar.

För kryptoindustrin innebär detta betydligt större ekonomiska förluster som potentiellt kan störa hela ekosystem och utplåna kapitalet hos ett stort antal investerare världen över.

En av årets största incidenter med nordkoreanska grupper var Bybit-hackningen på 1,5 miljarder dollar som skakade branschen i slutet av februari.

Över 400 000 ETH stals i intrånget, vilket ledde till det största digitala tillgångsrånet i kryptobranschens historia.

Flera andra incidenter följde, inklusive stölden på 223 miljoner dollar från den decentraliserade börsen Cetus, samt en exploit värd 128 miljoner dollar riktad mot det Ethereum-baserade protokollet Balancer.

Ytterligare bekräftade intrång på WOO X, Seedify och LND.fi bidrog bara till de häpnadsväckande siffrorna som gjorde 2025 till det mest framgångsrika året hittills för nordkoreanska hackare.

Under de senaste månaderna har nordkoreanska aktörer visat sig använda olika attackvägar för att bryta in i mål.

Till exempel upptäcktes de i oktober att de bäddade in skadlig kod i Ethereum- och BNB-kedjans smarta kontrakt som en del av en smygkampanj som nu är kopplad till den statligt stödda gruppen UNC5342.

Över hela världen har stora ekonomier som USA, Sydkorea, Australien och EU-medlemmar infört riktade sanktioner mot Nordkoreas cyberbrottsinfrastruktur i ett försök att begränsa dess olagliga intäktsgenerering.

Men det räcker kanske inte ensamt, enligt Andrew Fierman, som påpekade att det krävs samordnade åtgärder över hela branschen för att störa Nordkoreas verksamhet, inklusive börser, infrastrukturleverantörer, analysföretag och brottsbekämpande myndigheter.

Fierman varnade för att regimen förväntas fortsätta förlita sig på kryptostöld som en primär intäktskälla, särskilt i takt med att internationella sanktioner skärps och andra inkomstkanaler krymper.

Utvecklande tekniker för kryptotvätt

När pengarna väl har blivit stulna förvärrar processen för att tvätta dem problemet ytterligare, vilket gör återvinningsarbetet extremt svårt och förvandlar hotet till en bestående och systemrisk risk för det bredare kryptoekosystemet.

"Stulna medel följer olika vägar för tvätt, inklusive mixningstjänster, OTC-mäklare, kedjehopp, tokenswaps, decentraliserade börser och bryggprotokoll för att dölja flöden," sade Fierman.

Några av de tekniker som används av nordkoreanska grupper inkluderar det så kallade kinesiska tvätterinätverket, som består av diskfria mäklare, underjordiska bankkanaler och gränsöverskridande penningöverföringar baserade främst i Kina och Sydostasien.

På den tekniska sidan förlitar de sig på komplexa cross-chain-bryggvägar och en rotation av mixningstjänster för att fragmentera de stulna tillgångarna över blockkedjor. Dessa dras ofta tillbaka via löst reglerade kinesiskspråkiga plattformar med svaga KYC-krav.

Även om Nordkoreas cyberattacker också riktar sig mot områden utanför kryptosektorn, är kryptoindustrin fortfarande ett särskilt attraktivt mål, främst på grund av dess likviditet, globala tillgänglighet och fragmenterade tillsyn.

Förra månaden, under Devconnect-konferensen i Buenos Aires, varnade web3-revisionsbyrån Opseks grundare Pablo Sabbatella för att ungefär 30 % till 40 % av sökande som strömmar in i kryptojobb kan vara nordkoreanska försök att få insideråtkomst genom falska identiteter.