Хакеры из КНДР похитили криптовалюту на рекордные $2 млрд в 2025 году: новые тактики и угрозы

• Рекордные показатели ущерба при снижении частоты атак
• Внедрение агентов в IT-компании как вектор угрозы
• Специфика отмывания средств через азиатские шлюзы
• Алгоритм легализации активов за 45 дней
• Прогнозы экспертов на 2026 год

2025 год стал рекордным по объему хищений криптовалюты северокорейскими хакерскими группировками. Согласно отчету Chainalysis, связанные с КНДР злоумышленники похитили цифровые активы на сумму свыше $2 млрд, что на 51% превышает показатели предыдущего года. При этом частота атак снизилась, но их эффективность достигла исторического максимума. Основными целями стали централизованные сервисы с высокой капитализацией, а для отмывания средств активно использовались азиатские платежные шлюзы и криптобиржи без KYC.

Рекордные показатели ущерба при снижении частоты атак

Аналитики Chainalysis зафиксировали любопытную тенденцию: хотя количество операций, проводимых Корейской Народно-Демократической Республикой (КНДР), заметно сократилось, эффективность этих действий достигла исторического максимума. Северокорейские хакеры присвоили цифровые активы на сумму не менее $2,02 млрд в 2025 году.

Этот показатель на 51% превышает данные предыдущего года. Если сравнивать с уровнями 2020 года, объем хищений вырос приблизительно на 570%. Эксперты отмечают, что рекордная выручка была получена в результате значительно меньшего числа известных инцидентов.

Такой сдвиг отражает последствия масштабного взлома биржи Bybit в марте 2025 года. Злоумышленники перешли от количества к качеству, фокусируясь на целях с высокой капитализацией. Кроме того, отчет выявил доминирование КНДР в сфере компрометации сервисов.

Внедрение агентов в IT-компании как вектор угрозы

Злоумышленники все чаще добиваются сверхрезультатов за счет размещения своих оперативников на технических должностях в криптокомпаниях. Аналитики называют этот подход одним из основных векторов атаки.

Получение статуса сотрудника позволяет преступникам приобретать привилегированный доступ к системам и осуществлять разрушительные вторжения изнутри. В июле блокчейн-исследователь ZachXBT опубликовал расследование, согласно которому агенты КНДР заняли от 345 до 920 рабочих мест в индустрии.

Часть рекордных показателей 2025 года, вероятно, отражает возросшую зависимость хакеров от инфильтрации IT-специалистов на биржи, к кастодианам и в Web3-фирмы. Это ускоряет получение первичного доступа и боковое перемещение по сети перед крупномасштабным выводом средств.

Специфика отмывания средств через азиатские шлюзы

Поведение северокорейских групп при легализации доходов резко отличается от действий других киберпреступников. Связанные с КНДР акторы предпочитают отмывать деньги небольшими траншами.

Чуть более 60% объема их транзакций не превышают по стоимости $500 тыс. Напротив, хакеры, не связанные с Пхеньяном, обычно переводят 60% украденных средств гораздо более крупными партиями — от $1 млн до $10 млн и выше.

Chainalysis утверждает, что такая структура отражает более осторожный и сложный подход КНДР к отмыванию, несмотря на большие общие суммы хищений. Фирма также выявила различия в используемых инструментах.

Алгоритм легализации активов за 45 дней

Эксперты наблюдали повторяющийся паттерн отмывания, который обычно разворачивается в течение полутора месяцев:

1. Начальный этап (Дни 0–5) — дистанцирование украденных средств от источника с использованием протоколов DeFi и сервисов микширования.
2. Интеграция (Дни 6–10) — активность смещается в сторону сервисов, обеспечивающих более широкую интеграцию.
3. Транзитный период — легализация продолжается через вторичные сервисы микширования с меньшей интенсивностью.
4. Финальная стадия (Дни 20–45) — усиленное взаимодействие с сервисами, облегчающими конвертацию или обналичивание.

Прогнозы экспертов на 2026 год

Руководство Chainalysis полагает, что Северная Корея продолжит искать любые доступные уязвимости. Инциденты с Bybit, BTCTurk и Upbit в текущем году указывают на то, что централизованные биржи находятся под растущим давлением.

Однако тактика атакующих может измениться в любой момент. Недавние эксплойты, затрагивающие протоколы Balancer и Yearn, также свидетельствуют о том, что давно существующие DeFi-проекты могут попасть в поле зрения злоумышленников.

Ключевой задачей на 2026 год станет выявление и пресечение этих операций до того, как будет реализован очередной инцидент масштаба взлома Bybit.