Год КНДР: все самое главное о хакерских группировках Северной Кореи

2025 год стал знаковым для безопасности криптоиндустрии. Многие осознали реальную угрозу, исходящую от северокорейских хакерских группировок. GetBlock AML Research подводит итоги деятельности хакеров из КНДР и раскрывает главные схемы, по которым они работают.

1. Кражи криптовалют стали массовыми

Северная Корея только за период с января 2024 по сентябрь 2025 похитила около $2,8 млрд в криптовалютах. Самый громкий случай — взлом биржи Bybit в феврале на $1,5 млрд, выполненный группой хакеров, связанной с властями КНДР. В отличие от обычных киберпреступников, которые стараются прятать следы, северокорейские участники почти открыто перемещают украденные средства между разными криптовалютами и блокчейнами — будто уверены, что их никто не остановит.

Как отмыть крипту на $1,5 млрд за 5 простых шагов. Кейс Lazarus Group

Криптобирже Bybit удалось заблокировать только $42,8 млн. Это менее 3% от общей стоимости украденных активов

Читать дальше

2. Схемы “отмывания” денег расширяются

Украденные средства проходят все более извилистый путь: используются специальные сервисы, размывающие след транзакций, а также посредники, работающие в разных странах. Особенно тревожит усиление связей северокорейцев с преступными группами в России и Камбодже, а также обход санкций через банковские карты и посредников в Гонконге. Эти схемы усложняют поиск и возврат денег — но все же оставляют шанс на пресечение операций.

Визуализация: Chainalysis

Схема отмывания криптовалюты, которую используют северокорейские хакеры

3. Методы атак становятся изощренными

Фишинговые рассылки все еще используются, но это уже не главное. Хакеры все чаще атакуют поставщиков программного обеспечения и компании, которые хранят чужие крипто-активы. То есть происходит переход от случайных краж к точечным ударам по ключевой инфраструктуре — и это делает их стратегию намного опаснее.

Как Garantex отмывает миллионы для Lazarus Group, обходя санкции — полное расследование

Как биржа отмывает криптоактивы, почему ее заблокировал Tether и как избежать блокировки средств — разбираем в деталях

Читать дальше

4. Работа “под чужим именем” — новый источник дохода

Ранее это казалось мелкой схемой, но теперь превратилось в глобальный бизнес. Северокорейские ИТ-специалисты устраиваются на работу в иностранные компании под вымышленными именами и зарабатывают от $3500 до $10 000 в месяц, а лучшие — до $100 000. Они работают, в основном, из Китая и России, создают десятки фальшивых личностей и нацеливаются на компании из важных отраслей: искусственный интеллект, блокчейн, оборонные технологии. Все больше внимания уделяется фирмам в Германии, Португалии и Великобритании.

Северокорейские хакеры взломали создателя мема Pepe. Как это произошло

Злоумышленники выпустили неограниченное количество игровых NFT проектов Replicandy, Peplicator, Hedz и Zogz

Читать дальше

5. Цель Северной Кореи — не только деньги

Хуже всего то, что украденные средства направляются на развитие вооружений. На эти деньги закупают технику и элементы для ракетных систем. Параллельно хакеры охотятся за данными о производстве чипов, переработке урана, ракетных технологиях. Это создает опасную связь между хищениями денег, шпионажем и военными проектами.

Что это значит

Северокорейские кибероперации — это уже не просто преступность ради прибыли, а многоуровневая стратегия, сочетающая:

• финансовые кражи
• технологический шпионаж
• развитие военного потенциала

Противодействие требует комплексного подхода. Компаниям рекомендуется:

• усиливать проверку IT-специалистов перед наймом
• внедрять современные системы безопасности
• отслеживать крупные транзакции и подозрительные операции
• регулярно проводить аудит защиты данных

Особенно важно мониторить криптовалютные операции, так как Северная Корея теперь активно нацелена на конкретные индустрии и регионы.