Hackeri legați de Republica Populară Democrată Coreeană (RPDC) au furat o sumă uluitoare de 2,02 miliarde de dolari în criptomonede de la începutul anului 2025, conform unui nou raport publicat de Chainalysis joi.
Această cifră reprezintă o creștere de 51% comparativ cu 2024 și marchează cel mai mare total anual înregistrat vreodată pentru furturile de criptomonede atribuite actorilor nord-coreeni. În total, piața mai largă de criptomonede a suferit aproximativ 3,4 miliarde de dolari în pierderi în acest an—ceea ce înseamnă că hackerii legați de RPDC reprezintă aproape 59% din toate activele digitale furate în 2025.
Mai puține atacuri, daune mult mai mari
Chainalysis descrie datele ca dovezi ale unei evoluții clare în strategia cibernetică a Coreei de Nord. Deși numărul atacurilor a scăzut brusc, valoarea medie furată pe incident a crescut, indicând o schimbare către operațiuni mai puține, dar mult mai devastatoare.
Un exemplu principal al acestei tendințe a fost atacul Bybit de 1,5 miliarde de dolari din februarie 2025, pe care FBI l-a atribuit ulterior actorilor legați de DPRK. Această breșă unică a reprezentat majoritatea pierderilor înregistrate în primul trimestru al anului și a subliniat concentrarea tot mai mare a grupului pe ținte centralizate de mare valoare.
Conform Chainalysis, această schimbare strategică pune o presiune urgentă asupra industriei criptomonedelor pentru a:
Întărirea apărării în jurul platformelor cu lichiditate ridicată
Îmbunătățirea detectării timpurii a intruziunilor pe scară largă
Îmbunătățirea monitorizării pentru tiparele de spălare unice operațiunilor DPRK
Amprente On-Chain Distincte
Spre deosebire de grupurile tipice de criminalitate cibernetică, hackerii nord-coreeni prezintă modele comportamentale distincte care pot fi identificate on-chain. Chainalysis observă că actorii legați de DPRK tind să se bazeze pe:
Dimensiuni specifice ale tranzacțiilor
Utilizarea repetată a anumitor furnizori de servicii
Temporizarea și secvențierea previzibilă a mișcărilor de fonduri
Aceste caracteristici creează amprente unice în blockchain, permițând analiștilor să distingă activitatea DPRK de alte grupuri de hacking—cu condiția ca uneltele adecvate de monitorizare să fie în vigoare.
Modelul de Spălare în Trei Etape
Una dintre cele mai semnificative descoperiri ale raportului este identificarea unui proces de spălare a banilor în trei etape utilizat constant de hackerii nord-coreeni. Ciclu se desfășoară, de obicei, pe o perioadă de aproximativ 45 de zile și include:
Etapa 1: Obfuscarea Inițială
Fondurile furate sunt rapid mutate prin portofele și servicii care au frecvent interfețe în limba chineză, probabil pentru a reduce scrutinul și a complica atribuirea.
Etapa 2: Fragmentarea Cross-Chain
Activele sunt transferate între mai multe blockchain-uri folosind punți cross-chain, rupând continuitatea tranzacțiilor și copleșind sistemele de urmărire cu fluxuri fragmentate.
Etapa 3: Amestecare și Consolidare
Fondurile sunt apoi transmise prin servicii de amestecare a criptomonedelor pentru a obstrucționa și mai mult originile înainte de consolidarea sau conversia finală.
Chainalysis afirmă că acest model a apărut constant de câțiva ani și oferă legături probatorii puternice care leagă hackurile majore de grupurile sponsorizate de DPRK.
Finanțarea programelor de arme cu criptomonede furate
În multe cazuri, criptomonedele furate nu sunt spălate doar pentru profit—ele sunt, se presupune, utilizate pentru a finanța direct programele de arme ale Coreei de Nord.
Andrew Fierman, șeful informațiilor de securitate națională de la Chainalysis, a declarat că rapoartele recente de informații indică faptul că fondurile criptomonede furate de actorii DPRK au fost utilizate pentru a procura:
Vehicule blindate
Echipament militar
Sisteme de apărare aeriană portabile (MANPADS)
Componente legate de dezvoltarea rachetelor
Aceste activități permit Coreei de Nord să ocolească sancțiunile internaționale în timp ce finanțează prioritățile strategice ale statului.
Escaladare în ultimii ani
Datele istorice evidențiază scala accelerată a furturilor de criptomonede legate de DPRK:
2023: ~$660.5 milioane furate în 20 de atacuri
2024: ~$1.34 miliarde furate în 47 de atacuri (+103% YoY)
2025: ~$2.02 miliarde furate, în ciuda unei scăderi de 74% a numărului de incidente înregistrate
Chainalysis avertizează că această tendință sugerează că industria ar putea vedea doar porțiunea vizibilă a unei amenințări mult mai mari.
Infiltrarea Insider și Atacuri asupra Lanțului de Aprovizionare
Dincolo de atacurile directe, operatorii nord-coreeni exploatează tot mai mult lanțurile de aprovizionare umane și software.
Infiltrarea Firmelor de Criptomonede
Conform Binance, persoanele legate de DPRK încearcă să aplice pentru locuri de muncă la bursă aproape zilnic. Ofițerul șef de securitate al Binance, Jimmy Su, a dezvăluit că:
Hackerii folosesc avatare video generate de AI în timpul interviurilor
Instrumente de modificare a vocii sunt utilizate pentru a masca identitățile
CV-uri false și acreditive false sunt comune
Binance a dezvoltat marcaje interne de detectare și acum împărtășește informații cu alte burse prin Telegram și Signal.
Contaminarea Bibliotecilor Open-Source
Hackerii nord-coreeni au fost, de asemenea, legați de injecții de cod malițios în biblioteci open-source NPM populare, utilizate pe scară largă de dezvoltatorii de blockchain.
Binance a recunoscut că dezvoltatorii trebuie acum să efectueze audite extrem de riguroase ale bibliotecilor terțe înainte de integrare.
Un raport separat de la ReversingLabs a identificat două pachete open-source compromise care au folosit contracte inteligente Ethereum pentru a desfășura malware, parte a unei campanii sofisticate asociate anterior cu acțiunile DPRK.
Un avertisment pentru 2026
Chainalysis concluzionează cu un avertisment sever: Hackerii nord-coreeni operează sub o structură de stimulente fundamental diferită de criminalii cibernetici convenționali. Acțiunile lor sunt:
Dirijate de stat
Motivate strategic
În mare parte indiferent la riscurile legale sau reputaționale
Atâta timp cât criptomonedele furate continuă să finanțeze prioritățile naționale și să ocolească sancțiunile, amenințarea este de așteptat să crească.
În ciuda reducerii bruște a frecvenței atacurilor, 2025 a stabilit un an record pentru pierderi, sugerând că atacurile pe scară largă, cu impact ridicat, ar putea deveni norma.
„Cea mai mare provocare în 2026”, avertizează raportul, „va fi detectarea și întreruperea acestor operațiuni înainte de a avea loc un alt incident pe scară largă, similar cu hack-ul Bybit.”
👉 Urmăriți-ne pentru analize detaliate de securitate a criptomonedelor, informații despre blockchain și actualizări critice despre amenințările cibernetice globale.
