Рост киберпреступников из Северной Кореи на 51%! Годовой ущерб в 2 миллиарда долларов, раскрыта сеть отмывания денег на китайском языке

Последний отчёт Chainalysis показывает, что в 2025 году объём кражи криптовалют в мире составит примерно 3,4 миллиарда долларов, из которых как минимум 20,2 миллиарда придётся на атаки, связанные с Северной Кореей, что на 51% больше по сравнению с 2024 годом (рост примерно на 6,81 миллиарда долларов), что является рекордным показателем. Северокорейские хакеры составляют 76% всех инцидентов взлома и на данный момент украли как минимум 67,5 миллиарда долларов в криптоактивах.

Северокорейские хакеры доминируют в 76% мировых краж криптовалют

(Источник: Chainalysis)

2025 год стал самым худшим с момента начала Северной Кореей кампании по краже криптовалюты: связанные атаки составили 76% всех случаев взлома, что является рекордным показателем. Эта доля крайне поразительная — 3 из 4 краж криптовалют в мире связаны с Северной Кореей. Это доминирование не случайно, а является результатом долгосрочных инвестиций и накопления технологий государственными киберсилами Северной Кореи.

20,2 миллиарда долларов незаконных приобретений имеют стратегическое значение для Северной Кореи. По международным оценкам, годовой ВВП Северной Кореи составляет около 200–300 миллиардов долларов, что означает, что хакеры крадут деньги, эквивалентные 6-10% её ВВП. Кража криптовалют стала одним из основных источников иностранной валюты для Северной Кореи после того, как санкции ООН перекрыли большинство её обычных торговых каналов, которые используются для поддержки программ ядерного оружия и баллистических ракет.

Годовой темп роста в 51% свидетельствует о стремительном росте возможностей северокорейских хакеров. Это улучшение отражается не только на техническом уровне, но и в изощренности стратегий атаки. От первых дней жестоких фишинговых атак до современной многоступенчатой социальной инженерии, проникновения в цепочки поставок и инсайдерской интеграции — северокорейские хакеры разработали зрелую методологию атаки.

Данные о северокорейских хакерских атак в 2025 году

Общая сумма украденных: $20,2 миллиарда, что составляет 76% глобального кражи криптовалюты, что на 51% больше по сравнению с 2024 годом

Кумулятивная кража истории: 67,5 миллиарда долларов, в среднем около 8,4 миллиарда долларов в год с 2017 года по настоящее время

Крупнейший случай: Крупная компания CEX обменивает $15 миллиардов, что составляет 74% от общего объема краж в Северной Корее в 2025 году

Широко считается, что Lazarus Group тесно связана с Генеральным разведывательным бюро (RGB) Пхеньяна, получив более 200 миллионов долларов незаконных доходов от как минимум 25 краж криптовалют только в период с 2020 по 2023 год. Группа уже более десяти лет запускает кибератаки на финансовые учреждения и криптовалютные платформы и подозревается в причастности к краже активов на сумму около 36 миллионов долларов у Upbit, крупнейшей криптовалютной биржи Южной Кореи, в прошлом месяце.

Стратегия событий и двухлинейного проникновения централизованных бирж стоимостью 1,5 миллиарда долларов

Согласно отчету, взлом биржи CEX в феврале этого года стал крупнейшей единичной атакой в Северной Корее, причинив убытки около 1,5 миллиарда долларов. Инцидент приписывают угрожающей группе под названием TraderTraitor, также известной как Нефритовый Мокрый Снег или Медленные Рыбы. Компания по безопасности Hudson Rock затем указала, что компьютер, заражённый вредоносным ПО Lumma Stealer, был связан с инфраструктурой, использованной в атаке.

Методы атаки взлома CEX чрезвычайно сложны. Хакеры не атаковали напрямую систему холодных кошельков биржи, а проникли в сотрудников биржи с помощью социальной инженерии, чтобы получить доступ к внутренним системам. Оказавшись внутри сети, хакеры перемещаются в критические системы и в конечном итоге получают доступ к управлению приватными ключами. Эта цепочка атак включает несколько этапов, каждый из которых требует высокоспециализированного мастерства и терпения.

Помимо прямого взлома бирж, северокорейские хакеры уже давно проводят социальные инженерные атаки под названием «Операция мечты дела». Они используют платформы, такие как LinkedIn и WhatsApp, чтобы выдать себя за рекрутеров, а также используют высокооплачиваемые вакансии как приманку для привлечения специалистов в области обороны, технологий, авиации и производства, чтобы заманить цели на скачивание и внедрение вредоносного ПО с целью кражи конфиденциальных данных или создания долгосрочных каналов проникновения.

Другая стратегия — так называемая операция «Вагемоле». Сотрудники Северной Кореи подают заявки на позиции в информационных технологиях в зарубежных компаниях под вымышленными именами или проникают в компании через прикрытие, чтобы получить доступ к системам и услугам шифрования, тем самым запуская мощные атаки. Chainalysis отметил, что этот метод может ускорить горизонтальное перемещение и начальную скорость доступа хакеров до крупномасштабной кражи, что, возможно, является одной из важных причин рекордно больших потерь в этом году.

Министерство юстиции США объявило, что 40-летний мужчина из Мэриленда был приговорён за помощь северокорейским сотрудникам в выдаче себя за их личности для работы в IT-сфере. Расследование показало, что обвиняемый позволял гражданам Северной Кореи, проживающим в Шэньяне, Китай, использовать свою личность для работы в различных американских компаниях и государственных учреждениях, получив почти $1 миллион компенсации в период с 2021 по 2024 год. Это дело раскрывает реальный способ работы Вагемол.

Трёхэтапный перевод средств китайской сети по борьбе с отмыванием денег

Что касается управления средствами, украденные криптоактивы обычно переводятся через структурированный многоэтапный процесс отмывания денег. В отчёте отмечается, что северокорейские хакеры используют Professional Chinese Language Money Laundering Service (профессиональная китайская служба отмывания денег) и OTC (внебиржевые услуги), что указывает на тесные связи с подпольными финансовыми сетями в китайскоязычном регионе.

Первый этап использовал децентрализованные финансовые протоколы и сервисы смешивания валют для быстрого перенаправления средств в течение нескольких дней после атаки. Цель этого этапа — быстро разорвать прямую связь украденных средств с исходным адресом. Хакеры делят большие суммы денег на тысячи мелких переводов, осуществляя многохопные переводы через микшеры, такие как Tornado Cash, и несколько DeFi-протоколов, что значительно повышает сложность отслеживания.

Вторая фаза изначально будет интегрирована через коммутации, кросс-чейневые мосты и вторичные услуги смешивания. Средства переводятся с Ethereum в другие цепочки, такие как BSC, Tron и другие, используя сложность кроссчейн-бридинга для дополнительного закрытия путей отслеживания. Часть средств поступает в меньшие биржи, поддерживающие более слабый KYC, конвертируя их в другие криптовалюты или стейблкоины.

Наконец, в течение примерно 20–45 дней средства обмениваются на фиатную валюту или другие активы. Этот этап наиболее критически и опасный, потому что для того, чтобы криптовалюты стали пригодной фиатной валютой, они должны быть в контакте с традиционной финансовой системой. Северокорейские хакеры в основном полагаются на внебиржевых торговцев и подпольных банков в китайскоязычном регионе, которые предоставляют большие объемы услуг обмена криптовалютами и в конечном итоге переводят средства на счета, контролируемые Северной Кореей, через сложную сеть банков.

Высокая степень связи «китайской системы» вызвала обеспокоенность среди судебных органов США. Это говорит о том, что некоторые подпольные финансовые сети в материковом Китае, Гонконге, Тайване или китайском сообществе Юго-Восточной Азии предоставляют Северной Корее важные услуги по отмыванию денег. Сложность этой транснациональной преступной сети делает для правоохранительных органов чрезвычайно сложным отслеживание и ужесточение их борьбы.

Эксперты по информационной безопасности предупреждают, что угрозы, связанные с Северной Кореей, постоянно корректируют свои тактики — от прямого проникновения в системы до более скрытых и незаметных методов проникновения и злоупотребления платформами. С ростом популярности криптовалют и удалённой работы связанные с ними риски, вероятно, будут продолжать расти, становясь серьёзной проблемой для защиты безопасности информации в области регулирования и корпоративной безопасности в различных странах.