Новий звіт розкриває тривожний масштаб діяльності криптохакерів Північної Кореї

Згідно з доповіддю, опублікованою Multilateral Sanctions Monitoring Team (MSMT), хакери, пов’язані з Північною Кореєю, викрали приголомшливі 2,83 мільярда доларів у віртуальних активах у період з 2024 року по вересень 2025 року.

У звіті підкреслюється, що Пхеньян не лише відзначається у крадіжках, але й володіє витонченими методами легалізації незаконно отриманих коштів.

Дохід від хакерства забезпечує третину валютних надходжень країни

MSMT — це багатонаціональна коаліція з 11 країн, включаючи США, Південну Корею та Японію. Вона була створена в жовтні 2024 року для підтримки впровадження санкцій Ради Безпеки ООН проти Північної Кореї.

За даними MSMT, 2,83 мільярда доларів, викрадених з 2024 по вересень 2025 року, є критично важливою цифрою.

«Доходи Північної Кореї від крадіжок віртуальних активів у 2024 році склали приблизно третину загального валютного доходу країни», — зазначила команда.

Масштаби крадіжок різко зросли: лише у 2025 році було викрадено 1,64 мільярда доларів, що на понад 50% більше, ніж 1,19 мільярда у 2024 році, незважаючи на те, що показник за 2025 рік не включає останній квартал.

Злам Bybit і синдикат TraderTraitor

MSMT визначила, що злам глобальної біржі Bybit у лютому 2025 року став основним чинником зростання незаконних доходів у 2025 році. Атаку було приписано TraderTraitor — одній з найвитонченіших хакерських організацій Північної Кореї.

Розслідування показало, що група збирала інформацію, пов’язану з SafeWallet — провайдером мультипідписних гаманців, який використовує Bybit. Потім вони отримали несанкціонований доступ через фішингові електронні листи.

Вони використали шкідливий код для доступу до внутрішньої мережі, маскуючи зовнішні перекази під внутрішні переміщення активів. Це дозволило їм перехопити контроль над смарт-контрактом холодного гаманця.

MSMT зазначила, що у великих зламах за останні два роки Північна Корея часто віддає перевагу атакам на сторонніх провайдерів послуг, пов’язаних з біржами, а не на самі біржі.

Дев’ятиетапний механізм відмивання

MSMT детально описала ретельний дев’ятиетапний процес відмивання, який використовує Північна Корея для конвертації викрадених віртуальних активів у фіатну валюту:

1. Зловмисники обмінюють викрадені активи на криптовалюти, такі як ETH, на децентралізованій біржі (DEX).

2. Вони «міксують» кошти за допомогою сервісів, таких як Tornado Cash, Wasabi Wallet або Railgun.

3. Вони конвертують ETH у BTC через bridge-сервіси.

4. Переміщують кошти на холодний гаманець після проходження через акаунти централізованих бірж.

5. Розподіляють активи на різні гаманці після другого раунду міксування.

6. Обмінюють BTC на TRX (Tron) через bridge та P2P-угоди.

7. Конвертують TRX у стейблкоїн USDT.

8. Переводять USDT до Over-the-Counter (OTC) брокера.

9. OTC-брокер конвертує активи у місцеву фіатну валюту.

Глобальна мережа сприяє обготівковуванню

Найскладніший етап — це конвертація криптовалюти у придатний для використання фіат. Це здійснюється за допомогою OTC-брокерів і фінансових компаній у третіх країнах, включаючи Китай, Росію та Камбоджу.

У звіті названо конкретних осіб. Серед них — громадяни Китаю Ye Dinrong і Tan Yongzhi з Shenzhen Chain Element Network Technology та P2P-трейдер Wang Yicong.

Вони, ймовірно, співпрацювали з північнокорейськими структурами, надаючи підроблені документи та сприяючи відмиванню активів. Російські посередники також були причетні до легалізації приблизно 60 мільйонів доларів, викрадених під час зламу Bybit.

Крім того, Huione Pay, фінансова сервісна компанія під егідою камбоджійської Huione Group, використовувалася для відмивання коштів.

«Громадянин Північної Кореї підтримував особисті стосунки з представниками Huione Pay і співпрацював з ними для обготівковування віртуальних активів наприкінці 2023 року», — заявила MSMT.

MSMT висловила занепокоєння уряду Камбоджі у жовтні та грудні 2024 року щодо діяльності Huione Pay, яка підтримує кіберзлочинців з Північної Кореї, визначених ООН. У результаті Національний банк Камбоджі відмовився поновити ліцензію на платіжну діяльність Huione Pay; однак компанія продовжує працювати в країні.