Gli hacker legati alla Repubblica Popolare Democratica di Corea (DPRK) hanno rubato la straordinaria cifra di $2,02 miliardi in criptovalute dall'inizio del 2025, secondo un nuovo rapporto pubblicato da Chainalysis giovedì.
La cifra rappresenta un aumento del 51% rispetto al 2024 e segna il totale annuale più alto mai registrato per i furti di criptovalute attribuiti ad attori nordcoreani. In totale, il mercato delle criptovalute più ampio ha subito perdite per circa $3,4 miliardi quest'anno, il che significa che gli hacker legati alla DPRK da soli rappresentano quasi il 59% di tutti gli asset digitali rubati nel 2025.
Meno attacchi, danni molto maggiori
Chainalysis descrive i dati come prova di una chiara evoluzione nella strategia informatica della Corea del Nord. Sebbene il numero di attacchi sia diminuito drasticamente, il valore medio rubato per incidente è aumentato notevolmente, indicando uno spostamento verso operazioni meno frequenti ma molto più devastanti.
Un esempio principale di questa tendenza è stato l'hack di Bybit da 1,5 miliardi di dollari nel febbraio 2025, che l'FBI ha successivamente attribuito ad attori legati alla DPRK. Quella singola violazione ha rappresentato la maggior parte delle perdite registrate nel primo trimestre dell'anno e ha sottolineato il crescente focus del gruppo su obiettivi centralizzati di alto valore.
Secondo Chainalysis, questo cambiamento strategico esercita una pressione urgente sull'industria delle criptovalute per:
Rafforzare le difese intorno a piattaforme ad alta liquidità
Migliorare la rilevazione precoce di intrusioni su larga scala
Migliorare il monitoraggio per i modelli di riciclaggio unici delle operazioni della DPRK
Impronte On-Chain Distinte
A differenza dei gruppi di criminalità informatica tipici, gli hacker nordcoreani mostrano modelli comportamentali distintivi che possono essere identificati on-chain. Chainalysis nota che gli attori legati alla DPRK tendono a fare affidamento su:
Dimensioni specifiche delle transazioni
Uso ripetuto di determinati fornitori di servizi
Tempistiche e sequenze prevedibili dei movimenti di fondi
Queste caratteristiche creano impronte blockchain uniche, consentendo agli analisti di distinguere l'attività della DPRK da altri gruppi di hacking, a condizione che siano in atto adeguati strumenti di monitoraggio.
Il Modello di Riciclaggio in Tre Fasi
Una delle scoperte più significative del rapporto è l'identificazione di un processo di riciclaggio di denaro in tre fasi utilizzato costantemente dagli hacker nordcoreani. Il ciclo si svolge tipicamente in circa 45 giorni e include:
Fase 1: Offuscamento Iniziale
I fondi rubati vengono rapidamente trasferiti attraverso portafogli e servizi che presentano frequentemente interfacce in lingua cinese, probabilmente per ridurre il controllo e complicare l'attribuzione.
Fase 2: Frammentazione Cross-Chain
Le risorse sono collegate attraverso più blockchain utilizzando ponti cross-chain, interrompendo la continuità delle transazioni e sopraffacendo i sistemi di tracciamento con flussi frammentati.
Fase 3: Mischiare e Consolidare
I fondi vengono quindi passati attraverso servizi di miscelazione cripto per ulteriormente oscurare le origini prima della successiva consolidazione o conversione.
Chainalysis afferma che questo modello è apparso costantemente per diversi anni e fornisce forti collegamenti probatori che collegano hack importanti a gruppi sponsorizzati dalla DPRK.
Finanziamento di programmi di armamenti con criptovalute rubate
In molti casi, le criptovalute rubate non sono semplicemente riciclate per profitto: si sostiene che siano utilizzate per finanziare direttamente i programmi di armamento della Corea del Nord.
Andrew Fierman, responsabile dell'intelligence sulla sicurezza nazionale di Chainalysis, ha dichiarato che rapporti di intelligence recenti indicano che i fondi cripto rubati dagli attori della DPRK sono stati utilizzati per procurare:
Veicoli blindati
Attrezzature militari
Sistemi di difesa aerea portatili (MANPADS)
Componenti relativi allo sviluppo di missili
Queste attività consentono alla Corea del Nord di eludere le sanzioni internazionali mentre finanziano le priorità strategiche statali.
Escalation negli ultimi anni
I dati storici evidenziano l'accelerazione del furto di criptovalute legato alla DPRK:
2023: ~$660.5 milioni rubati in 20 attacchi
2024: ~$1.34 miliardi rubati in 47 attacchi (+103% anno su anno)
2025: ~$2.02 miliardi rubati nonostante una diminuzione del 74% nel numero di incidenti registrati
Chainalysis avverte che questa tendenza suggerisce che l'industria potrebbe vedere solo la parte visibile di una minaccia molto più grande.
Infiltrazione interna e attacchi alla catena di approvvigionamento
Oltre agli attacchi diretti, gli operatori nordcoreani stanno sempre più sfruttando le catene di approvvigionamento umane e software.
Infiltrazione di aziende di criptovalute
Secondo Binance, individui legati alla DPRK tentano di candidarsi per lavori presso l'exchange quasi quotidianamente. Il Chief Security Officer di Binance, Jimmy Su, ha rivelato che:
Gli hacker utilizzano avatar video generati dall'IA durante le interviste
Gli strumenti di alterazione della voce vengono utilizzati per mascherare le identità
Curriculum falsi e credenziali contraffatte sono comuni
Binance ha sviluppato marcatori di rilevamento interni e ora condivide informazioni con altre borse tramite Telegram e Signal.
Avvelenamento di librerie open-source
Gli hacker nordcoreani sono stati anche collegati a iniezioni di codice malevolo in librerie NPM open-source popolari, ampiamente utilizzate dagli sviluppatori blockchain.
Binance ha riconosciuto che gli sviluppatori devono ora condurre audit estremamente rigorosi delle librerie di terze parti prima dell'integrazione.
Un rapporto separato di ReversingLabs ha identificato due pacchetti open-source avvelenati che sfruttavano contratti intelligenti Ethereum per distribuire malware, parte di una campagna sofisticata precedentemente associata ad attori della DPRK.
Un avvertimento per il 2026
Chainalysis conclude con un avvertimento severo: gli hacker nordcoreani operano sotto una struttura di incentivi fondamentalmente diversa rispetto ai criminali informatici convenzionali. Le loro azioni sono:
Direttivi statali
Motivati strategicamente
Largamente indifferenti al rischio legale o reputazionale
Finché le criptovalute rubate continueranno a finanziare le priorità nazionali e a eludere le sanzioni, si prevede che la minaccia crescerà.
Nonostante la forte riduzione della frequenza degli attacchi, il 2025 ha segnato un anno record per le perdite, suggerendo che attacchi su larga scala e ad alto impatto potrebbero diventare la norma.
“La maggiore sfida nel 2026,” avverte il rapporto, “sarà rilevare e interrompere queste operazioni prima che si verifichi un altro incidente su scala dell'hack di Bybit.”
👉 Seguici per un'analisi approfondita della sicurezza delle criptovalute, intelligenza blockchain e aggiornamenti critici sulle minacce informatiche globali.
