Nowy raport ujawnia niepokojący zasięg północnokoreańskich hakerów kryptowalutowych

Zgodnie z raportem opublikowanym przez Multilateral Sanctions Monitoring Team (MSMT), hakerzy powiązani z Koreą Północną ukradli oszałamiającą kwotę 2,83 miliarda dolarów w wirtualnych aktywach między 2024 a wrześniem 2025 roku.

Raport podkreśla, że Pjongjang nie tylko doskonale radzi sobie z kradzieżami, ale także posiada zaawansowane metody likwidacji nielegalnie zdobytych środków.

Dochody z hackingu stanowią jedną trzecią zagranicznych przychodów walutowych kraju

MSMT to wielonarodowa koalicja 11 krajów, w tym USA, Korei Południowej i Japonii. Została utworzona w październiku 2024 roku, aby wspierać wdrażanie sankcji Rady Bezpieczeństwa ONZ wobec Korei Północnej.

Zgodnie z danymi MSMT, skradzione 2,83 miliarda dolarów od 2024 do września 2025 roku to kluczowa liczba.

„Dochody Korei Północnej z kradzieży wirtualnych aktywów w 2024 roku stanowiły około jednej trzeciej całkowitych przychodów walutowych kraju” – zauważył zespół.

Skala kradzieży gwałtownie wzrosła – tylko w 2025 roku skradziono 1,64 miliarda dolarów, co stanowi wzrost o ponad 50% w porównaniu do 1,19 miliarda dolarów w 2024 roku, mimo że dane za 2025 rok nie obejmują jeszcze ostatniego kwartału.

Atak na Bybit i syndykat TraderTraitor

MSMT wskazał, że lutowy atak hakerski na globalną giełdę Bybit w 2025 roku był głównym czynnikiem wzrostu nielegalnych dochodów w tym roku. Atak przypisano TraderTraitor, jednej z najbardziej zaawansowanych północnokoreańskich grup hakerskich.

Śledztwo wykazało, że grupa zebrała informacje dotyczące SafeWallet, dostawcy portfeli multi-signature używanego przez Bybit. Następnie uzyskali nieautoryzowany dostęp za pomocą phishingowych e-maili.

Wykorzystali złośliwy kod do uzyskania dostępu do sieci wewnętrznej, maskując zewnętrzne transfery jako wewnętrzne ruchy aktywów. Pozwoliło im to przejąć kontrolę nad smart kontraktem zimnego portfela.

MSMT zauważył, że w największych atakach z ostatnich dwóch lat Korea Północna często preferuje atakowanie zewnętrznych dostawców usług powiązanych z giełdami, zamiast samych giełd.

Dziewięcioetapowy mechanizm prania pieniędzy

MSMT szczegółowo opisał skrupulatny, dziewięcioetapowy proces prania pieniędzy, który Korea Północna wykorzystuje do konwersji skradzionych wirtualnych aktywów na walutę fiducjarną:

1. Atakujący zamieniają skradzione aktywa na kryptowaluty takie jak ETH na zdecentralizowanej giełdzie (DEX).

2. „Miksują” środki za pomocą usług takich jak Tornado Cash, Wasabi Wallet lub Railgun.

3. Konwertują ETH na BTC za pośrednictwem usług mostowych.

4. Przenoszą środki do zimnego portfela po przejściu przez konta na scentralizowanych giełdach.

5. Rozpraszają aktywa na różne portfele po drugiej rundzie miksowania.

6. Zamieniają BTC na TRX (Tron) za pomocą mostów i transakcji P2P.

7. Konwertują TRX na stablecoina USDT.

8. Przesyłają USDT do brokera OTC (Over-the-Counter).

9. Broker OTC likwiduje aktywa na lokalną walutę fiducjarną.

Globalna sieć ułatwia wypłatę środków

Najtrudniejszym etapem jest konwersja kryptowalut na użyteczną walutę fiducjarną. Odbywa się to za pośrednictwem brokerów OTC i firm finansowych w krajach trzecich, w tym w Chinach, Rosji i Kambodży.

Raport wymienia konkretne osoby. Wśród nich są obywatele Chin: Ye Dinrong i Tan Yongzhi z Shenzhen Chain Element Network Technology oraz trader P2P Wang Yicong.

Rzekomo współpracowali oni z północnokoreańskimi podmiotami, dostarczając fałszywe dokumenty tożsamości i ułatwiając pranie aktywów. Pośrednicy rosyjscy również byli zamieszani w likwidację około 60 milionów dolarów z ataku na Bybit.

Ponadto, Huione Pay, dostawca usług finansowych należący do Huione Group z Kambodży, był wykorzystywany do prania pieniędzy.

„Obywatel Korei Północnej utrzymywał osobiste relacje z przedstawicielami Huione Pay i współpracował z nimi przy wypłacie wirtualnych aktywów pod koniec 2023 roku” – stwierdził MSMT.

MSMT wyraził zaniepokojenie rządowi Kambodży w październiku i grudniu 2024 roku. Obawy dotyczyły działalności Huione Pay wspierającej północnokoreańskich cyberprzestępców wyznaczonych przez ONZ. W rezultacie Narodowy Bank Kambodży odmówił przedłużenia licencji płatniczej Huione Pay; jednak firma nadal działa w kraju.