Рост краж криптовалют северокорейскими хакерами на 51%！Цикл отмывания денег составляет 45 дней, всего украдено 6.75 миллиардов долларов

Северокорейские хакеры в 2025 году украли 20,2 миллиарда долларов в криптовалюте (рост на 51%), суммарно достигнув 67,5 миллиарда долларов. Количество атак снизилось на 74%, но масштаб их вырос значительно, 15 миллиардов долларов приходится на централизованные биржи (CEX), что составляет почти половину за год. Предпочитают китайские услуги по отмыванию денег (рост на 355%), межцепочные мосты и протоколы смешивания, цикл отмывания занимает около 45 дней и делится на три этапа.

Количество атак северокорейских хакеров снизилось на 74%, а украденные средства выросли на 51%

В 2025 году северокорейские хакеры установили рекорд по кражам в криптовалюте, похитив не менее 20,2 миллиарда долларов, что на 6,81 миллиарда больше, чем в 2024 году, рост на 51% в годовом выражении. Это самый серьезный год по зафиксированным случаям краж криптовалюты северокорейскими хакерами, атаки, инициированные Северной Кореей, составили 76% от всех взломанных средств, что стало рекордом. В целом, совокупная сумма украденных криптовалют северокорейскими хакерами оценивается минимум в 67,5 миллиарда долларов.

Еще более удивительно, что этот рекордный ущерб достигнут при значительном сокращении известных атак. Северокорейские хакеры украли больше криптовалюты при меньшем числе атак — примерно на 74% меньше, но средний размер каждой атаки значительно вырос. Этот сдвиг отражает влияние масштабной атаки на платформе Bybit в феврале 2025 года, которая нанесла ущерб на сумму до 1,5 миллиарда долларов, что составляет 74% от общего украденного за год.

Три крупнейшие атаки составили 69% от общего ущерба, причем экстремальные значения достигали в 1000 раз превышения медианы. В 2025 году сумма украденных средств в крупнейших атаках была в 1000 раз больше, чем в обычных случаях, и даже превысила пик бычьего рынка 2021 года. Такой растущий разрыв приводит к высокой концентрации потерь, и влияние отдельного инцидента на общий годовой ущерб было необычно значительным.

Северокорейские хакеры все чаще внедряются внутрь криптосервисов через IT-персонал для получения привилегированного доступа и проведения масштабных атак. В определенной степени рекордные атаки 2025 года могут отражать зависимость Северной Кореи от проникновения в торговые платформы, кастодиальные организации и компании Web3, что ускоряет начальный доступ и горизонтальное перемещение внутри систем, создавая условия для масштабных краж.

Однако недавно связанные с Северной Кореей хакерские организации полностью перевернули эту модель работы с IT-специалистами. Они больше не просто устраиваются на работу и проникают под видом сотрудников, а все чаще маскируются под рекрутеров известных компаний Web3 и AI, тщательно планируя фиктивные процессы найма, чтобы в конечном итоге под видом «технического отбора» получать учетные данные жертв, исходный код и доступ к VPN или SSO их текущих работодателей.

45-дневный трехэтапный цикл отмывания денег и предпочтение китайских сервисов

Анализ активности в блокчейне за период 2022–2025 годов, связанной с хакерскими атаками, приписываемыми Северной Корее, показывает, что похищенные средства проходят структурированный многоэтапный путь отмывания, который занимает примерно 45 дней. Эта многолетняя модель свидетельствует о том, что у северокорейских хакеров есть ограничения в операциях, что может быть связано с ограниченными каналами доступа к финансовым инфраструктурам и необходимостью координации с определенными посредниками.

45-дневный трехэтапный цикл отмывания денег северокорейских хакеров

0-5 день (немедленное разделение): рост объема DeFi-протоколов на 370%, увеличение услуг по смешиванию на 135-150%, четкое разграничение между экстренными и кражами

6-10 день (предварительная интеграция): рост платформ без KYC на 37%, централизованных бирж (CEX) на 32%, межцепочных мостов на 141%, поток средств к каналам вывода

20-45 день (долгий хвост): рост платформ без KYC на 82%, рост гарантийных сервисов на 87%, рост китайских платформ на 45%, завершение обмена фиатных средств

В сравнении с другими хакерами, у северокорейских злоумышленников явно выражена склонность к определенным видам отмывания. Они часто используют китайские услуги по переводу средств и гарантийные сервисы (рост на 355% до более чем 1000%), что является их отличительной чертой, а также сильно зависят от сети мошеннических операторов, предоставляющих услуги по отмыванию с низким уровнем регуляции. Использование межцепочных мостов увеличилось на 97%, что свидетельствует о высокой зависимости от межцепочных мостов для перемещения активов между разными блокчейнами и усложнения отслеживания. Услуги по смешиванию выросли на 100%, что говорит о попытках скрыть движение средств.

В то же время, северокорейские хакеры явно избегают использования кредитных протоколов (-80%), платформ без KYC (-75%, что удивительно ниже, чем у других хакеров), P2P-платформ (-64%) и DEX (-42%). Эти модели показывают, что их деятельность подчинена иным ограничениям и целям, чем у нерегулируемых или государственно неподдерживаемых киберпреступных групп. Они широко используют профессиональные китайские услуги по отмыванию денег и внебиржевых торговых платформ, что свидетельствует о тесных связях северокорейских хакеров с нелегальными операторами в Азиатско-Тихоокеанском регионе.

Этот типичный 45-дневный цикл отмывания предоставляет важную информацию правоохранительным органам и регуляторам. Понимание этого временного окна и стадийных моделей помогает биржам и компаниям по безопасности своевременно принимать меры по блокировке и возврату средств до их окончательного отмывания.