Un nuovo rapporto rivela l’allarmante portata degli hacker crypto della Corea del Nord

Secondo un rapporto pubblicato dal Multilateral Sanctions Monitoring Team (MSMT), gli hacker collegati alla Corea del Nord hanno rubato la straordinaria cifra di 2,83 miliardi di dollari in asset virtuali tra il 2024 e settembre 2025.

Il rapporto sottolinea che Pyongyang non solo eccelle nei furti, ma possiede anche metodi sofisticati per liquidare i guadagni illeciti.

I ricavi degli hack rappresentano un terzo delle valute estere del Paese

Il MSMT è una coalizione multinazionale composta da 11 paesi, tra cui Stati Uniti, Corea del Sud e Giappone. È stato istituito nell’ottobre 2024 per supportare l’attuazione delle sanzioni del Consiglio di Sicurezza delle Nazioni Unite contro la Corea del Nord.

Secondo il MSMT, i 2,83 miliardi di dollari rubati dal 2024 a settembre 2025 rappresentano una cifra fondamentale.

“I proventi dei furti di asset virtuali della Corea del Nord nel 2024 hanno rappresentato circa un terzo del totale delle entrate in valuta estera del Paese,” ha osservato il team.

La portata dei furti è aumentata drasticamente, con 1,64 miliardi di dollari rubati solo nel 2025, rappresentando un incremento di oltre il 50% rispetto agli 1,19 miliardi sottratti nel 2024, nonostante la cifra del 2025 non includa l’ultimo trimestre.

L’hack di Bybit e il sindacato TraderTraitor

Il MSMT ha identificato l’attacco hacker del febbraio 2025 all’exchange globale Bybit come uno dei principali fattori dell’aumento dei ricavi illeciti nel 2025. L’attacco è stato attribuito a TraderTraitor, una delle organizzazioni di hacking più sofisticate della Corea del Nord.

L’indagine ha rivelato che il gruppo ha raccolto informazioni relative a SafeWallet, il provider di wallet multi-firma utilizzato da Bybit. Successivamente hanno ottenuto accesso non autorizzato tramite email di phishing.

Hanno utilizzato codice malevolo per accedere alla rete interna, camuffando i trasferimenti esterni come movimenti interni di asset. Questo ha permesso loro di prendere il controllo del contratto intelligente del cold wallet.

Il MSMT ha osservato che nei principali attacchi degli ultimi due anni, la Corea del Nord preferisce spesso prendere di mira fornitori di servizi terzi collegati agli exchange, piuttosto che attaccare direttamente gli exchange stessi.

Il meccanismo di riciclaggio in nove fasi

Il MSMT ha dettagliato un meticoloso processo di riciclaggio in nove fasi che la Corea del Nord utilizza per convertire gli asset virtuali rubati in valuta fiat:

1. Gli aggressori scambiano gli asset rubati con criptovalute come ETH su un Decentralized Exchange (DEX).

2. “Mescolano” i fondi utilizzando servizi come Tornado Cash, Wasabi Wallet o Railgun.

3. Convertono ETH in BTC tramite servizi di bridge.

4. Spostano i fondi in un cold wallet dopo essere passati attraverso account di exchange centralizzati.

5. Disperdono gli asset in diversi wallet dopo un secondo round di mixing.

6. Scambiano BTC con TRX (Tron) utilizzando bridge e scambi P2P.

7. Convertono TRX in stablecoin USDT.

8. Trasferiscono gli USDT a un broker Over-the-Counter (OTC).

9. Il broker OTC liquida gli asset in valuta fiat locale.

Una rete globale facilita il cash-out

La fase più difficile è convertire le criptovalute in valuta fiat utilizzabile. Questo viene realizzato tramite broker OTC e società finanziarie in paesi terzi, tra cui Cina, Russia e Cambogia.

Il rapporto cita individui specifici. Tra questi, i cittadini cinesi Ye Dinrong e Tan Yongzhi di Shenzhen Chain Element Network Technology e il trader P2P Wang Yicong.

Essi avrebbero collaborato con entità nordcoreane per fornire documenti d’identità falsi e facilitare il riciclaggio di asset. Anche intermediari russi sono stati coinvolti nella liquidazione di circa 60 milioni di dollari derivanti dall’hack di Bybit.

Inoltre, Huione Pay, un fornitore di servizi finanziari del gruppo cambogiano Huione Group, è stato utilizzato per il riciclaggio.

“Un cittadino nordcoreano ha mantenuto una relazione personale con i collaboratori di Huione Pay e ha cooperato con loro per incassare asset virtuali alla fine del 2023,” ha dichiarato il MSMT.

Il MSMT ha sollevato preoccupazioni con il governo cambogiano nell’ottobre e dicembre 2024 riguardo alle attività di Huione Pay a supporto degli hacker informatici nordcoreani designati dalle Nazioni Unite. Di conseguenza, la National Bank of Cambodia ha rifiutato di rinnovare la licenza di pagamento di Huione Pay; tuttavia, la società continua ad operare nel paese.