Данные аналитиков показывают, что 2025 год стал самым активным для северокорейских кибергрупп, специализирующихся на кражах цифровых активов. По оценке лондонской компании Elliptic, хакеры, связанные с КНДР, уже похитили более $2 миллиардов в криптовалюте — и это при том, что до конца года остаются ещё месяцы.
Эксперты предупреждают: масштаб и регулярность атак указывают на то, что государственное киберпреступление становится устойчивым элементом экономики Северной Кореи, особенно в условиях международных санкций.
Масштабы киберопераций
По данным Elliptic, за последние годы криптокражи превратились для Пхеньяна в один из ключевых способов пополнения бюджета. С 2017 года режим, по оценкам специалистов, похитил не менее $6 миллиардов в цифровых активах. Значительная часть этих средств, по мнению разведок США, Японии и Южной Кореи, направляется на разработку оружия и ракетных программ.
Текущие показатели включают только те случаи, где эксперты смогли с высокой степенью уверенности подтвердить причастность северокорейских группировок. Реальная сумма, по словам Elliptic, может быть ещё выше.
Крупнейшая кража года произошла в феврале, когда с криптобиржи Bybit было похищено около $1,46 миллиарда — это одно из крупнейших хищений цифровых активов за всю историю. Расследование ФБР, Elliptic и независимых аналитиков выявило следы, характерные для группировки Lazarus, связанной с КНДР. Помимо этого, пострадали и другие платформы. Всего в 2025 году северокорейским хакерам приписывают более 30 атак.
Эволюция методов
Если в предыдущие годы злоумышленники в основном эксплуатировали дыры в смарт-контрактах и инфраструктуре децентрализованных бирж, то теперь акцент сместился на социальную инженерию.
Хакеры чаще всего действуют через фишинг, поддельные вакансии и имитацию деловых контактов, чтобы получить доступ к приватным ключам или аутентификационным данным пользователей. Основные цели — владельцы крупных криптоактивов и сотрудники инвестиционных компаний.
Рост цен на криптовалюты в 2025 году сделал таких людей особенно привлекательными для атак, а человеческий фактор — самым слабым звеном в защите цифровых активов.
Как хакеры скрывают следы
Одновременно с совершенствованием инструментов слежения, Северная Корея улучшает и механизмы отмывания средств. В отчёте Elliptic о взломе Bybit говорится, что злоумышленники используют многоступенчатые схемы кросс-чейн перевода, перемещая средства между разными блокчейнами, чтобы запутать цепочку транзакций.
Также применяются миксеры токенов, малоизвестные блокчейны с низким уровнем аналитики и даже специально созданные «лаундеринг-токены», маскирующие движение активов между кошельками.
Несмотря на это, специалисты по блокчейн-аналитике продолжают совершенствовать методы отслеживания. Современные системы всё лучше распознают характерные паттерны северокорейских атак, что позволяет правоохранителям иногда перехватывать средства на ранних этапах. Однако успешное возвращение активов по-прежнему крайне сложно и требует мгновенного реагирования, поскольку украденные токены почти сразу уходят в анонимные сети и за пределы юрисдикций.
Серия рекордных атак в 2025 году подчеркивает новую реальность: государственное киберпреступление стало мощным инструментом обхода санкций. В условиях изоляции КНДР продолжает использовать криптовалюту как источник дохода, совершенствуя тактики и увеличивая масштаб операций.
Для мировых финансовых институтов это означает необходимость усиления кибербезопасности не только на уровне систем, но и персонала, ведь именно человеческий фактор всё чаще становится входной точкой для атак.
