ارتفاع هجمات قراصنة كوريا الشمالية بنسبة 51٪! سرقة بقيمة 2 مليار دولار سنويًا، وكشف شبكة غسيل أموال صينية

تقرير Chainalysis الأخير يُظهر أن قيمة العملات الرقمية المسروقة عالمياً في عام 2025 تقترب من 3.4 مليار دولار، منها على الأقل 2.02 مليار دولار من هجمات مرتبطة بكوريا الشمالية، بزيادة قدرها 51% عن عام 2024 (حوالي 681 مليون دولار)، مسجلة أعلى رقم في التاريخ. تشكل هجمات قراصنة كوريا الشمالية 76% من جميع عمليات الاختراق، وقد سرقوا حتى الآن ما لا يقل عن 6.75 مليار دولار من الأصول الرقمية.

سيطرة قراصنة كوريا الشمالية على 76% من عمليات سرقة العملات الرقمية عالمياً

(المصدر: Chainalysis)

لقد أصبح عام 2025 هو الأكثر خطورة منذ بدء هجمات كوريا الشمالية على العملات الرقمية، حيث شكلت الهجمات المرتبطة بها 76% من جميع عمليات الاختراق، مسجلة أعلى رقم في التاريخ. هذا النسبة مدهشة للغاية، مما يعني أنه من بين كل 4 عمليات سرقة للعملات الرقمية، هناك 3 مرتبطة بكوريا الشمالية. هذه السيطرة ليست صدفة، بل نتيجة للاستثمار المستمر والتراكم التقني من قبل جيش إلكتروني وطني لكوريا الشمالية.

الأرباح غير القانونية البالغة 2.02 مليار دولار لها أهمية استراتيجية بالنسبة لكوريا الشمالية. وفقًا لتقديرات دولية، يبلغ الناتج المحلي الإجمالي السنوي لكوريا الشمالية حوالي 200-300 مليار دولار، مما يعني أن الأموال التي يسرقها القراصنة تمثل حوالي 6-10% من الناتج المحلي الإجمالي. بعد أن قطعت العقوبات الأمم المتحدة معظم طرق التجارة الطبيعية، أصبحت سرقة العملات الرقمية أحد المصادر الرئيسية للعملة الأجنبية لكوريا الشمالية، وتُستخدم هذه الأموال لدعم برامجها النووية وصواريخها الباليستية.

نمو بنسبة 51% سنوياً يُظهر أن قدرات قراصنة كوريا الشمالية تتطور بسرعة. هذا التحسن لا يقتصر على الجانب التقني فحسب، بل يتجلى أيضاً في تعقيد استراتيجيات الهجوم. من هجمات الصيد المباشرة في المراحل الأولى، إلى الهجمات متعددة المراحل التي تشمل الهندسة الاجتماعية، والتسلل عبر سلسلة التوريد، وزرع عناصر داخلية، لقد طوّر قراصنة كوريا الشمالية منهجية هجوم ناضجة.

بيانات هجمات قراصنة كوريا الشمالية في 2025

إجمالي المبالغ المسروقة: 2.02 مليار دولار، تمثل 76% من سرقات العملات الرقمية عالمياً، بزيادة 51% عن 2024

إجمالي السرقة التاريخية: 6.75 مليار دولار، منذ 2017 حتى الآن، بمعدل حوالي 840 مليون دولار سنوياً

أكبر عملية سرقة فردية: بورصة مركزية كبيرة (CEX) بقيمة 1.5 مليار دولار، تمثل 74% من إجمالي سرقات كوريا الشمالية في 2025

يُعتقد أن مجموعة Lazarus مرتبطة بشكل وثيق بالمكتب الاستطلاع المركزي في بيونغ يانغ (RGB)، حيث حصلت بين 2020 و2023 على أكثر من 200 مليون دولار من خلال ما لا يقل عن 25 عملية سرقة للعملات الرقمية. استمرت هذه المنظمة على مدى أكثر من عقد في استهداف المؤسسات المالية ومنصات العملات الرقمية، ويُشتبه في تورطها في سرقة حوالي 36 مليون دولار من أكبر بورصة للعملات الرقمية في كوريا الجنوبية، Upbit، الشهر الماضي.

حادثة سرقة بقيمة 1.5 مليار دولار من بورصات مركزية واستراتيجية التسلل المزدوج

تُظهر التقارير أن هجوم سرقة من بورصة مركزية في فبراير 2025 هو الأكبر من نوعه من حيث المبلغ، حيث تكبدت خسائر تقدر بحوالي 1.5 مليار دولار. يُنسب هذا الهجوم إلى مجموعة تهديد تُعرف باسم TraderTraitor، والمعروفة أيضاً باسم Jade Sleet أو Slow Pisces. وأشارت شركة الأمن السيبراني Hudson Rock لاحقاً إلى أن جهاز كمبيوتر مصاب ببرمجية خبيثة تُدعى Lumma Stealer مرتبط بالبنية التحتية المستخدمة في هذا الهجوم.

أساليب الهجوم على البورصات المركزية معقدة للغاية. لم يهاجم القراصنة مباشرة أنظمة المحافظ الباردة، بل قاموا بالتسلل عبر الهندسة الاجتماعية إلى موظفي البورصة، للحصول على صلاحيات الوصول إلى الأنظمة الداخلية. بمجرد دخول الشبكة الداخلية، يتحرك المهاجمون أفقياً نحو الأنظمة الحيوية، ويصلون في النهاية إلى صلاحيات إدارة المفاتيح الخاصة. تتطلب هذه السلسلة من الهجمات مراحل متعددة، وكل مرحلة تتطلب خبرة تقنية عالية وصبر.

بالإضافة إلى الاختراق المباشر للبورصات، ينفذ قراصنة كوريا الشمالية أيضاً هجمات هندسة اجتماعية تحت اسم “Operation Dream Job”. يستخدمون منصات مثل LinkedIn وWhatsApp، ويتظاهرون بأنهم موظفون توظيف، ويستهدفون العاملين في الدفاع والتكنولوجيا والطيران والصناعة، بهدف إقناعهم بتحميل وتنفيذ برمجيات خبيثة، لسرقة بيانات حساسة أو إنشاء قنوات تسلل طويلة الأمد.

استراتيجية أخرى تُعرف باسم “Wagemole”. حيث يتقدم أفراد مرتبطون بكوريا الشمالية بطلبات توظيف وهمية في شركات خارجية في مجال تكنولوجيا المعلومات، أو يتسللون عبر شركات وهمية إلى داخل الشركات، للحصول على صلاحيات الوصول إلى الأنظمة وخدمات التشفير، ثم يشنون هجمات ذات تأثير كبير. تشير Chainalysis إلى أن هذه الأساليب تسرع من حركة القراصنة الأفقية قبل عمليات السرقة الكبرى، وقد تكون أحد الأسباب الرئيسية لارتفاع قيمة الخسائر هذا العام.

أعلنت وزارة العدل الأمريكية أن رجلاً يبلغ من العمر 40 عاماً في ماريلاند حُكم عليه بالسجن لمساعدته أفراد من كوريا الشمالية على تزوير هوياتهم للعمل في مجال تكنولوجيا المعلومات. أظهرت التحقيقات أن المتهم سمح لمواطن كوري شمالي يقيم في شينخوا بالصين باستخدام هويته للعمل في عدة شركات ومؤسسات حكومية أمريكية، وحصل بين 2021 و2024 على ما يقرب من مليون دولار كتعويض. تكشف هذه الحالة عن نمط عمل عملية Wagemole بشكل فعلي.

ثلاث مراحل لنقل الأموال عبر شبكة غسيل الأموال الصينية

في معالجة الأموال، غالباً ما يتم تحويل الأصول الرقمية المسروقة عبر عملية غسيل أموال منظمة متعددة المراحل. تُظهر التقارير أن قراصنة كوريا الشمالية يستخدمون بشكل كبير خدمات غسيل أموال باللغة الصينية (Professional Chinese-Language Money Laundering Service) والتداول خارج البورصة OTC، مما يدل على علاقات وثيقة مع شبكات التمويل غير القانونية في المناطق الناطقة بالصينية.

المرحلة الأولى، بعد أيام من الهجوم، تعتمد على استخدام بروتوكولات التمويل اللامركزية وخدمات التمويه (مخلوط العملات) لتقسيم الأموال المسروقة بسرعة. الهدف هو قطع الصلة المباشرة بين الأموال المسروقة والعنوان الأصلي بسرعة. يقوم القراصنة بتقسيم المبالغ الكبيرة إلى آلاف التحويلات الصغيرة، عبر أدوات مثل Tornado Cash وعدة بروتوكولات DeFi، لزيادة صعوبة التتبع بشكل تصاعدي.

المرحلة الثانية تتضمن دمج الأموال عبر بورصات، جسور بين السلاسل، وخدمات التمويه الثانوية. يتم نقل الأموال من إيثيريوم إلى شبكات أخرى مثل BSC وTron، مع تعقيد عملية التوصيل عبر الجسور بين السلاسل، مما يزيد من إرباك مسارات التتبع. بعض الأموال تُنقل إلى بورصات صغيرة ذات معايير KYC أضعف، وتُحول إلى عملات مشفرة أو عملات مستقرة أخرى.

وفي النهاية، خلال 20 إلى 45 يوماً، يتم تحويل الأموال إلى عملات قانونية أو أصول أخرى. هذه المرحلة هي الأكثر حساسية وخطورة، لأنها تتطلب تواصل مع النظام المالي التقليدي لتحويل العملات الرقمية إلى نقد. يعتمد قراصنة كوريا الشمالية بشكل رئيسي على وسطاء من المناطق الناطقة بالصينية، مثل تجار OTC والأسواق السوداء، الذين يقدمون خدمات تحويل العملات الرقمية إلى نقد، ويستخدمون شبكات مصرفية معقدة لنقل الأموال إلى حسابات تسيطر عليها كوريا الشمالية.

الترابط العالي لنظام “الصيني” يثير قلق الجهات القضائية الأمريكية. هذا يشير إلى أن شبكات التمويل غير القانونية في الصين، وهونغ كونغ، وتايوان، وجنوب شرق آسيا، تقدم خدمات غسيل أموال حيوية لكوريا الشمالية. تعقيد هذه الشبكات العابرة للحدود يجعل تتبعها ومكافحتها مهمة صعبة للغاية على الجهات المختصة.

يحذر خبراء الأمن السيبراني من أن التهديدات المرتبطة بكوريا الشمالية تواصل تعديل استراتيجياتها، من الاختراق المباشر للأنظمة، إلى التسلل الأكثر خفاءً وإخفاءً، واستغلال المنصات بشكل متزايد. مع انتشار العملات الرقمية والعمل عن بعد، تتزايد المخاطر، مما يشكل تحدياً كبيراً للتنظيمات الوطنية وفرق أمن الشركات.