Кибератаки из Северной Кореи: рекорд в размере 2 000 миллионов долларов украдено в криптовалютах в 2025 году

Хакеры из Северной Кореи достигли беспрецедентного преступного рубежа в 2025 году, похитив как минимум 2 000 000 000 долларов США в цифровых активах, согласно тщательному анализу Chainalysis. Эта цифра на 51% превышает показатели предыдущего года, что подняло общий объем похищенных средств Республики Корея до 6 750 миллионов долларов за последние годы. Модель показывает стратегическую трансформацию: меньше инцидентов, но значительно более разрушительных.

Эскалация преступности: от массовых атак к хирургическим операциям

Киберпреступность претерпела кардинальные изменения в 2025 году. В то время как традиционные киберпреступники распыляют свои усилия на множество целей меньшей ценности, связанные с Северной Кореей участники сосредотачивают ресурсы на высокоэффективных объектах. Группы из Северной Кореи отвечали за 76% всех нарушений на уровне сервисов в 2025 году, что является самым высоким показателем на сегодняшний день, согласно данным Chainalysis.

Этот избирательный подход резко контрастирует с предыдущими годами. Взломы личных кошельков значительно сократились, составляя всего 20% от общего похищенного в 2025 году (с 44% в 2024 году). Хотя число инцидентов против отдельных пользователей выросло до 158 000, средняя сумма, похищенная с каждого, снизилась на 52% и в целом составила 713 миллионов долларов. Данные указывают на сознательное смещение фокуса на корпоративные цели и централизованные платформы, где можно получить крупную прибыль за одну операцию.

Модели отмывания: цифровой след Северной Кореи

Форензический анализ выявил сложные схемы сокрытия средств, отличающие участников из Северной Кореи от других киберпреступников. В отличие от криминальных групп, совершающих крупные прямые переводы, хакеры из Северной Кореи тщательно дробят свои добычи на транзакции менее 500 000 долларов США, минимизируя автоматическое обнаружение.

Chainalysis обнаружил высокоспециализированную инфраструктуру отмывания: средства постоянно проходят через миксеры, крипто-мосты и посредников, управляемых на китайском языке. Такая зависимость от региональных посредников указывает на структурные ограничения и возможные соглашения с местными посредниками. Особенно заметно, что они избегают протоколов DeFi и децентрализованных бирж, предпочитая централизованные платформы, что свидетельствует о наличии ограничений доступа к более широкой финансовой инфраструктуре.

Типичный цикл конвертации и вывода средств занимает около 45 дней. Этот предсказуемый цикл проходит через разные этапы: от первоначальной маскировки происхождения средств до их окончательной интеграции в местные экономики. Эндрю Фирман, руководитель отдела национальной безопасности Chainalysis, отметил, что такая последовательность создает ценные возможности для команд соблюдения нормативов и правоохранительных органов перехватывать ресурсы до их окончательной конвертации в наличные.

Искусственный интеллект: новая сверхдержава преступности Северной Кореи

Особенно тревожным является обнаружение роли искусственного интеллекта в операциях по отмыванию денег, связанных с Северной Кореей. По словам Фирмана, «Северная Корея облегчает отмывание своих краж криптовалют с помощью последовательности и плавности, указывающих на использование искусственного интеллекта». Высокий уровень операционной сложности, необходимый для выполнения таких колоссальных краж и автоматизации многопрофильного отмывания, предполагает работу интеллектуальных систем.

Механизм отмывания включает миксеры, крипто-мосты и протоколы DeFi с ранних этапов, автоматизируя конвертацию между несколькими цифровыми активами. «Для достижения такой эффективности Северной Корее нужна крупная сеть отмывания, а также механизмы, оптимизированные, вероятно, с помощью ИИ», — пояснил Фирман. Способность обрабатывать миллиарды, сохраняя скрытность операций, свидетельствует о том, что интеллектуальная автоматизация является центральной частью стратегии Северной Кореи.

Изменения в глобальной киберпреступности

Обнаруженные тенденции указывают на все более поляризованный ландшафт угроз. С одной стороны, традиционные преступники совершают массовые кражи низкой стоимости. С другой — Северная Корея проводит редкие, но катастрофические атаки на криптографические платформы, прочно закрепившись в центре этих масштабных операций.

Эта тенденция имеет глубокие последствия для глобальной безопасности цифровых активов. Пока усиливаются меры по наблюдению и защите от традиционных угроз, сочетание технической сложности, государственных ресурсов и потенциала искусственного интеллекта у участников из Северной Кореи создает новую границу в кибервойне. По мере завершения 2025 года нет признаков того, что эти атаки снизятся, что говорит о том, что киберпреступность, связанная с Северной Кореей, останется значительной угрозой в экосистеме криптовалют в ближайшее время.