Новый отчет раскрывает тревожный масштаб деятельности криптохакеров из Северной Кореи

Согласно отчету, опубликованному Multilateral Sanctions Monitoring Team (MSMT), хакеры, связанные с Северной Кореей, похитили ошеломляющие 2,83 миллиарда долларов в виртуальных активах в период с 2024 года по сентябрь 2025 года.

В отчете подчеркивается, что Пхеньян не только преуспевает в кражах, но и обладает сложными методами обналичивания незаконно полученных средств.

Доходы от взломов составляют треть всей иностранной валюты страны

MSMT — это многонациональная коалиция из 11 стран, включая США, Южную Корею и Японию. Она была создана в октябре 2024 года для поддержки реализации санкций Совета Безопасности ООН против Северной Кореи.

По данным MSMT, сумма в 2,83 миллиарда долларов, похищенная с 2024 года по сентябрь 2025 года, является критически важной.

«Доходы Северной Кореи от краж виртуальных активов в 2024 году составили примерно одну треть от общего объема поступлений иностранной валюты страны», — отметила команда.

Масштабы краж резко увеличились: только в 2025 году было похищено 1,64 миллиарда долларов, что на более чем 50% больше по сравнению с 1,19 миллиарда долларов в 2024 году, несмотря на то, что цифра за 2025 год не включает последний квартал.

Взлом Bybit и синдикат TraderTraitor

MSMT определила, что взлом глобальной биржи Bybit в феврале 2025 года стал одним из основных источников роста незаконных доходов в 2025 году. Атака была приписана TraderTraitor — одной из самых сложных хакерских организаций Северной Кореи.

Расследование показало, что группа собирала информацию, связанную с SafeWallet — провайдером мультиподписных кошельков, используемым Bybit. Затем они получили несанкционированный доступ через фишинговые электронные письма.

Они использовали вредоносный код для доступа к внутренней сети, маскируя внешние переводы под внутренние перемещения активов. Это позволило им захватить контроль над смарт-контрактом холодного кошелька.

MSMT отметила, что в крупных взломах за последние два года Северная Корея часто предпочитает атаковать сторонних сервис-провайдеров, связанных с биржами, а не сами биржи.

Девятиступенчатый механизм отмывания

MSMT подробно описала тщательный девятиступенчатый процесс отмывания, который Северная Корея использует для конвертации похищенных виртуальных активов в фиатную валюту:

1. Злоумышленники обменивают украденные активы на такие криптовалюты, как ETH, на децентрализованной бирже (DEX).

2. Они «смешивают» средства с помощью сервисов, таких как Tornado Cash, Wasabi Wallet или Railgun.

3. Они конвертируют ETH в BTC через мостовые сервисы.

4. Они переводят средства на холодный кошелек после прохождения через счета централизованных бирж.

5. После второго раунда смешивания они распределяют активы по разным кошелькам.

6. Они обменивают BTC на TRX (Tron) с помощью мостов и P2P-сделок.

7. Они конвертируют TRX в стейблкоин USDT.

8. Они переводят USDT OTC-брокеру.

9. OTC-брокер обналичивает активы в местную фиатную валюту.

Глобальная сеть облегчает обналичивание

Самым сложным этапом является конвертация криптовалюты в используемую фиатную валюту. Это достигается с помощью OTC-брокеров и финансовых компаний в третьих странах, включая Китай, Россию и Камбоджу.

В отчете названы конкретные лица. Среди них граждане Китая Ye Dinrong и Tan Yongzhi из Shenzhen Chain Element Network Technology и P2P-трейдер Wang Yicong.

Предположительно, они сотрудничали с северокорейскими структурами, предоставляя поддельные удостоверения личности и способствуя отмыванию активов. Российские посредники также были замешаны в обналичивании примерно 60 миллионов долларов, похищенных при взломе Bybit.

Кроме того, Huione Pay, финансовый сервис-провайдер из группы Huione Group в Камбодже, использовался для отмывания средств.

«Гражданин Северной Кореи поддерживал личные отношения с представителями Huione Pay и сотрудничал с ними для обналичивания виртуальных активов в конце 2023 года», — заявила MSMT.

MSMT выразила обеспокоенность правительству Камбоджи в октябре и декабре 2024 года по поводу деятельности Huione Pay, поддерживающей киберхакеров из Северной Кореи, внесенных в список ООН. В результате Национальный банк Камбоджи отказался продлить лицензию на платежи Huione Pay; однако компания продолжает работать в стране.