تقرير جديد يكشف عن الانتشار المقلق لقراصنة العملات الرقمية في كوريا الشمالية

وفقًا لتقرير صادر عن فريق مراقبة العقوبات متعددة الأطراف (MSMT)، سرق قراصنة مرتبطون بكوريا الشمالية أصولًا افتراضية مذهلة بقيمة 2.83 مليار دولار بين عام 2024 وسبتمبر 2025.

يؤكد التقرير أن بيونغ يانغ لا تتقن فقط السرقة، بل تمتلك أيضًا أساليب متطورة لتسييل المكاسب غير المشروعة.

عائدات القرصنة تمثل ثلث العملة الأجنبية للبلاد

MSMT هو تحالف متعدد الجنسيات يضم 11 دولة، بما في ذلك الولايات المتحدة وكوريا الجنوبية واليابان. تم تأسيسه في أكتوبر 2024 لدعم تنفيذ عقوبات مجلس الأمن التابع للأمم المتحدة ضد كوريا الشمالية.

وفقًا لـ MSMT، فإن مبلغ 2.83 مليار دولار المسروق من 2024 إلى سبتمبر 2025 هو رقم حاسم.

“بلغت عائدات كوريا الشمالية من سرقة الأصول الافتراضية في عام 2024 حوالي ثلث إجمالي دخل البلاد من العملة الأجنبية”، أشار الفريق.

تسارعت وتيرة السرقات بشكل كبير، حيث تم سرقة 1.64 مليار دولار في عام 2025 وحده، وهو ما يمثل زيادة بأكثر من 50% عن 1.19 مليار دولار تم الاستيلاء عليها في 2024، على الرغم من أن رقم 2025 لا يشمل الربع الأخير.

اختراق Bybit وعصابة TraderTraitor

حدد MSMT اختراق بورصة Bybit العالمية في فبراير 2025 كمساهم رئيسي في ارتفاع الإيرادات غير المشروعة في 2025. وقد نُسب الهجوم إلى TraderTraitor، وهي واحدة من أكثر منظمات القرصنة تطورًا في كوريا الشمالية.

كشفت التحقيقات أن المجموعة جمعت معلومات تتعلق بـ SafeWallet، مزود المحفظة متعددة التوقيعات الذي تستخدمه Bybit. ثم حصلوا على وصول غير مصرح به عبر رسائل تصيد إلكتروني.

استخدموا شيفرة خبيثة للوصول إلى الشبكة الداخلية، وقاموا بتمويه التحويلات الخارجية على أنها حركات أصول داخلية. سمح لهم ذلك بالاستيلاء على السيطرة على العقد الذكي لمحفظة التخزين البارد.

أشار MSMT إلى أنه في عمليات الاختراق الكبرى خلال العامين الماضيين، غالبًا ما تفضل كوريا الشمالية استهداف مزودي الخدمات من الأطراف الثالثة المرتبطين بالبورصات، بدلاً من مهاجمة البورصات نفسها.

آلية غسل الأموال ذات التسع خطوات

وصف MSMT عملية غسل أموال دقيقة من تسع خطوات تستخدمها كوريا الشمالية لتحويل الأصول الافتراضية المسروقة إلى عملة نقدية:

1. يقوم المهاجمون بمبادلة الأصول المسروقة بعملات مشفرة مثل ETH على منصة تداول لامركزية (DEX).

2. يقومون بـ"خلط" الأموال باستخدام خدمات مثل Tornado Cash أو Wasabi Wallet أو Railgun.

3. يحولون ETH إلى BTC عبر خدمات الجسر.

4. ينقلون الأموال إلى محفظة باردة بعد المرور عبر حسابات بورصات مركزية.

5. يوزعون الأصول على محافظ مختلفة بعد جولة ثانية من الخلط.

6. يبدلون BTC إلى TRX (Tron) باستخدام الجسر والتداول من شخص لشخص (P2P).

7. يحولون TRX إلى العملة المستقرة USDT.

8. ينقلون USDT إلى وسيط خارج البورصة (OTC).

9. يقوم وسيط OTC بتسييل الأصول إلى العملة المحلية.

شبكة عالمية تسهل تسييل الأموال

المرحلة الأكثر تحديًا هي تحويل العملات المشفرة إلى عملة نقدية قابلة للاستخدام. يتم ذلك باستخدام وسطاء OTC وشركات مالية في دول طرف ثالث، بما في ذلك الصين وروسيا وكمبوديا.

ذكر التقرير أسماء أفراد محددين، من بينهم المواطنان الصينيان Ye Dinrong وTan Yongzhi من شركة Shenzhen Chain Element Network Technology والمتداول P2P Wang Yicong.

يُزعم أنهم تعاونوا مع كيانات كورية شمالية لتوفير هويات مزورة وتسهيل غسل الأصول. كما تم اتهام وسطاء روس بالمشاركة في تسييل حوالي 60 مليون دولار من اختراق Bybit.

علاوة على ذلك، تم استخدام Huione Pay، مزود الخدمات المالية التابع لمجموعة Huione Group الكمبودية، في عمليات غسل الأموال.

“احتفظ مواطن كوري شمالي بعلاقة شخصية مع شركاء Huione Pay وتعاون معهم لتسييل الأصول الافتراضية في أواخر عام 2023”، بحسب ما ذكره MSMT.

أثار MSMT مخاوف مع الحكومة الكمبودية في أكتوبر وديسمبر 2024 بشأن أنشطة Huione Pay الداعمة لقراصنة الإنترنت الكوريين الشماليين المعينين من قبل الأمم المتحدة. ونتيجة لذلك، رفض البنك الوطني الكمبودي تجديد ترخيص الدفع الخاص بـ Huione Pay؛ ومع ذلك، لا تزال الشركة تواصل العمل في البلاد.