Северокорейские хакеры: полное досье, описание методов и хронология краж криптовалют

Недавно Многосторонняя группа мониторинга санкций (MSMT) опубликовала отчет под названием «Нарушения и уклонение КНДР от санкций ООН через киберактивность и деятельность IT-специалистов». В отчете представлен систематический обзор того, как Корейская Народно-Демократическая Республика (КНДР) использует кибервозможности, IT-работников и операции с криптовалютами для обхода санкций ООН, хищения чувствительных технологий и получения финансовых средств. GetBlock AML Research публикует выдержку главных тезисов отчета, чтобы помочь читателям быстро понять эволюцию тактик и тенденций киберугроз со стороны КНДР, тем самым повышая уровень осведомленности и защиты от сложных киберрисков.

MSMT создана для мониторинга и отчетности по действиям, которые нарушают или обходят санкционные меры, установленные соответствующими резолюциями Совета Безопасности Организации Объединенных Наций (СБ ООН). В состав ее государств-участников входят Австралия, Канада, Франция, Германия, Италия, Япония, Нидерланды, Новая Зеландия, Южная Корея, Соединенное Королевство и Соединенные Штаты. Цель группы — содействовать полному исполнению санкций ООН в отношении Корейской Народно-Демократической Республики (КНДР), публикуя данные, основанные на тщательных расследованиях нарушений санкций и попыток уклонения.

Согласно отчету, в период 2024–2025 годов КНДР систематически и на государственном уровне нарушала несколько резолюций Совета Безопасности ООН. Это проявляется в масштабных кибератаках, кражах криптовалют и трансграничном отмывании денег, а также в глобальном развертывании IT-работников для обхода санкций и финансирования программ разработки оружия массового поражения и баллистических ракет.

Кибервозможности КНДР все больше приближаются к уровню киберсверхдержав: только в 2024 году было похищено не менее $1,19 млрд в криптовалютах, а за первые девять месяцев 2025 года — еще $1,65 млрд. В отдельных случаях украденные средства были отмыты через криптосервисы, зарегистрированные в нескольких странах, а также через многочисленных OTC-трейдеров. В отчете также подтверждается, что КНДР направила IT-работников как минимум в восемь стран, опираясь на зарубежных посредников и финансовые учреждения для управления средствами и сокрытия личностей, параллельно непрерывно добывая чувствительные технологии с помощью вредоносного ПО, атак цепочки поставок и социальной инженерии.

В целом почти вся такая деятельность контролируется государственными структурами, уже находящимися под санкциями ООН, и проводится через зарубежные подставные компании и развернутых за рубежом IT-работников, а глобальная сеть обхода санкций стабильно расширяется.

Год КНДР: все самое главное о хакерских группировках Северной Кореи

Северокорейские хакеры на данные момент являются главной угрозой для криптовалютного рынка, поскольку им удалось автоматизировать и поставить на поток кражу цифровых активов

Читать дальше

Киберпрограмма КНДР

Согласно отчету MSMT, в последние годы возможности КНДР в киберсфере значительно улучшились — в плане организационной структуры, технических навыков и трансграничной активности. Их зрелость сопоставима с уровнем кибердержав. Значительную часть операций выполняют различные группы APT, осуществляющие дистанционные вторжения, нарушения работы систем, сбор разведданных и операции по генерации дохода.

Масштабы этих групп растут: появляются новые исследовательские центры, контактные офисы и операционные подразделения, что демонстрирует систематическое расширение кибераппарата КНДР. Хотя техническая квалификация и задачи разных подразделений различаются, сотрудничество между кибератаками и зарубежными IT-работниками становится все теснее, с явными пересечениями в разработке инструментов, обмене технологиями и схемах финансирования.

Отчет описывает основную организационную структуру кибервозможностей КНДР, которая может быть суммирована в следующей схеме:

Организационная структура северокорейских киберпреступников

В целом кибероперации КНДР функционируют через многоуровневую структуру внутри страны и за ее пределами, что обеспечивает координированное выполнение разнообразной деятельности — от вредоносных операций и IT-аутсорсинга для получения дохода до трансграничного отмывания денег.

Кража криптовалют

С 2017 года, на фоне экономического давления и усиливающихся международных санкций, киберпреступники из КНДР начали использовать кражу криптовалют как источник дохода. В тот период криптоиндустрия быстро развивалась, но была недостаточно регулируемой и защищенной, что делало ее приоритетной целью. Согласно анализу стран-участников MSMT, а также компаний Mandiant и Chainalysis, в 2024 году КНДР похитила не менее $1,19 млрд — увеличение на 50% по сравнению с предыдущим годом. За период с января по сентябрь 2025 года сумма уже достигла $1,645 млрд, что доводит общий объем с января 2024 года по сентябрь 2025 года до не менее чем $2,8 млрд.

Объем украденных средств северокорейскими хакерами с 2024 года

Крупнейшие инциденты включают взлом хакерской группой TraderTraitor криптобиржи Bybit (Дубай) в феврале 2025 года, что привело к краже почти $1,5 млрд — крупнейшей краже криптоактивов в истории. Серьезно пострадали также японская биржа DMM Bitcoin и индийская WazirX, некоторые из которых были вынуждены временно прекратить работу. По оценкам стран-участников MSMT, доходы от криптокраж в 2024 году составили примерно треть общего валютного дохода КНДР. В отчете перечислены следующие инциденты, связанные с КНДР:

Хронология краж криптовалют в 2024 году

Хронология краж криптовалют в 2025 году

Эти случаи демонстрируют, что кибератаки КНДР преследуют не только финансовые цели, но и расширяют свое воздействие через атаки цепочек поставок и взломы сторонних сервисов, вызывая утечку активов и нарушение деятельности организаций.

США ввели санкции против пособников хакеров из КНДР. Кого это коснулось

Под новые ограничительные меры попали восемь физических лиц и две компании. Среди них есть лица, которые работали в американской юрисдикции

Читать дальше

Участвующие группы и структуры

Согласно отчету, в кражах криптовалют участвовали несколько групп APT КНДР и IT-работники, в том числе:

TraderTraitor (также Jade Sleet, UNC4899)

Наиболее технически продвинутая группа КНДР, применяющая социальную инженерию и атаки цепочек поставок для массовых хищений. С января 2024 по сентябрь 2025 года они похитили около $2,58 млрд в криптовалютах. Ключевые инциденты включают взломы DMM Bitcoin, WazirX и Bybit. Их атаки часто используют компрометацию сторонних кастодиальных сервисов для получения учетных данных бирж — позволяя обходить MFA и лимиты транзакций.

CryptoCore (также Sapphire Sleet, Alluring Pisces)

Работает аналогично TraderTraitor. С января 2024 по май 2025 года похитила не менее $33,5 млн. Их цели — сотрудники криптокомпаний в более чем десяти странах. Часто используют spear-phishing, выдавая себя за рекрутеров, предлагающих вакансии, а также вредоносные пакеты NPM, встроенные в «тестовые задания».

Известные email-адреса и домены группировки CryptoCore

Citrine Sleet (также AppleJeus, Gleaming Pisces)

Активна в распространении вредоносного ПО, эксплуатации уязвимостей и социальной инженерии. Особую известность получила в начале 2020-х годов с кампаниями AppleJeus. Заметный инцидент 2024 года — кража $50 млн у Radiant Capital.

Раскрыты новые сообщники северокорейских айтишников. Среди них есть россиянин

Власти США ввели санкции против гражданина России, который помогал айтишникам из Северной Кореи отмывать криптовалюту для дальнейшей передачи северокорейским властям

Читать дальше

IT-работники КНДР

По имеющимся данным, они также участвовали в кражах криптовалют, включая инциденты Munchables ($62,5 млн, позднее возвращены), OnyxDAO (3,8 млн), Exclusible Penthouse (827 000 долларов) и BTCTurk в 2024 году.

Методы и тактики атак

Группы APT и IT-работники КНДР используют высокоорганизованные и разнообразные методы:

Социальная инженерия и spear-phishing

Одним из типичных примеров является кампания Contagious Interview, впервые обнаруженная Palo Alto Networks в 2023 году. Атакующие выдавали себя за работодателей, приглашали на интервью и заставляли устанавливать пакет ПО, который разворачивал вредоносные программы BeaverTail и InvisibleFerret.

В 2025 году кампания эволюционировала в ClickFake Interview, расширившую цели на нетехнические роли. Жертвы перенаправлялись на фальшивые сайты «интервью», где их убеждали запускать команды или ПО, содержащие вредоносный код.

Шантаж и продажа украденных данных

С января 2024 по май 2025 года группы Moonstone Sleet и Andariel проводили вымогательские атаки, включая применение ransomware, продажу украденных данных и доступов на даркнет-рынках.

Сотрудничество с зарубежными киберпреступниками

По открытым данным, КНДР сотрудничает с иностранными преступными группировками, включая использование ransomware Qilin.

Использование ИИ-инструментов

Группировки КНДР применяют генеративные модели (LLM) для повышения качества фишинга, создания малвари и автоматизации атак.

Операции КНДР по отмыванию криптовалют

Кража крипты — лишь первый этап. Затем нужно отмыть средства, скрыв происхождение, прежде чем обналичить их через сеть OTC-брокеров в третьих странах. Типичные инструменты — миксеры, мосты, DEX-биржи, агрегаторы и P2P-платформы.

Типовой процесс отмывания:

• Swap: конвертация украденных токенов в ETH, BTC, DAI или USDT.
• Mix: использование Wasabi Wallet, Tornado Cash, JoinMarket, Railgun.
• Bridge: перенос средств через мосты и P2P-трейдеров.
• Store: хранение BTC в «некастодиальных» кошельках.
• Mix Again: повторное смешивание.
• Bridge: перевод BTC → TRX.
• Swap: обмен TRX → USDT.
• Convert: перевод USDT к OTC-брокерам.
• Remit: получение фиата.

Конвертация в наличные

Для обналичивания используются зарубежные партнеры, OTC-брокеры и сеть посредников.

Связи с зарубежной финансовой системой

По данным стран-участников MSMT, Первый кредитный банк КНДР использовал американскую финкомпанию для конвертации средств из USD в юани, а также держит резервы в десятках криптокошельков.

Зарубежные сети посредников

КНДР нередко использует сторонних отмывателей, включая платформы вроде Huione Pay.

Криптовалюта как средство расчетов

С 2023 года КНДР расширяет использование USDT для закупок оборудования и материалов.

Как отмыть крипту на $1,5 млрд за 5 простых шагов. Кейс Lazarus Group

Криптобирже Bybit удалось заблокировать только $42,8 млн. Это менее 3% от общей стоимости украденных активов

Читать дальше

IT-работники КНДР: общий обзор и стратегическая роль

Согласно отчету, IT-работники — самая высокооплачиваемая рабочая сила КНДР. Они обязаны отчислять значительную часть дохода государственным и аффилированным структурам. В 2024 году общий доход от их деятельности оценивался в $350–800 млн.

Каждая команда возглавляется менеджером, устанавливающим план в минимум 10 000 долларов в месяц на одного работника. Средняя зарплата зарубежных IT-работников КНДР — около 10 000 долларов в месяц.

Целевые отрасли и география

Основные цели: AI, блокчейн, веб-разработка, оборонная промышленность, госструктуры, НИИ.

География (2024–2025):

• Китай: 1000–1500
• КНДР: 450–1200
• Россия: 150–300
• Лаос: 20–40
• Экваториальная Гвинея: 5–15
• Гвинея: 5–10
• Нигерия: <10
• Танзания: <10
• Камбоджа: неизвестно

Тактики, техники и процедуры

Фаза 1: Создание личности

• поддельные или украденные документы,
• ИИ-генерация лиц,
• виртуальные номера,
• подделка KYC,
• VPN,
• контроль аккаунтов через удаленный доступ.

ИИ-генерация лиц

Фаза 2: Поиск работы

• прямые отклики в компании,
• фриланс-платформы,
• общение через LinkedIn, Discord.

Фаза 3: Получение средств

• PayPal, Payoneer, Wise,
• криптовалюта с последующим отмыванием,
• покупка PYUSD через посредников,
• регистрация компаний в США.

Зловредная киберактивность КНДР

Атаки на инфраструктуру Южной Кореи

Группы Temp.Hermit и Kimsuky использовали уязвимости ПО и атаки на цепочки поставок для получения доступа и кражи данных, включая атакующие кампании через сайты отраслевых организаций.

Цели в оборонной промышленности

Группы TraderTraitor и Andariel похищали чертежи вооружения, данные R&D и материалы о беспилотниках DJI.

Заключение

Согласно отчету MSMT, угрозы со стороны КНДР стали системными: атаки теперь включают в себя комплексную интеграцию заражения цепочек поставок, внедрение IT-работников, кражи фондов и трансграничное отмывание. Риски связаны не только с техническими уязвимостями, но и с уязвимостями в процессах, персонале и инфраструктуре.