“`html
Згідно з доповіддю, опублікованою Багатосторонньою групою моніторингу санкцій (MSMT), хакери, пов’язані з Північною Кореєю, викрали вражаючі $2,83 млрд у віртуальних активах з 2024 року до вересня 2025 року.
У звіті підкреслюється, що Пхеньян не лише відзначається у крадіжках, але й володіє складними методами для ліквідації незаконно отриманих коштів.
Багатостороння група моніторингу санкцій
MSMT є багатонаціональною коаліцією з 11 країн, включаючи США, Південну Корею та Японію. Вона була створена в жовтні 2024 року для підтримки впровадження санкцій Ради Безпеки ООН проти Північної Кореї.
Згідно з даними MSMT, викрадені $2,83 млрд з 2024 року до вересня 2025 року є критичною цифрою.
«Доходи від крадіжок віртуальних активів Північною Кореєю у 2024 році склали приблизно третину від загального доходу країни у іноземній валюті», — зазначила команда.
Масштаб крадіжок суттєво зріс, з $1,64 млрд викраденими лише у 2025 році, що становить збільшення на понад 50 % у порівнянні з $1,19 млрд у 2024 році, незважаючи на те, що цифра за 2025 рік не включає останній квартал.
Атака на Bybit у 2025 році
MSMT визначила лютневу атаку 2025 року на глобальну біржу Bybit як основний фактор зростання незаконних доходів у 2025 році. Атака була приписана TraderTraitor, одній з найскладніших хакерських організацій Північної Кореї.
Розслідування виявило, що група зібрала інформацію, пов’язану з SafeWallet, мультипідписовим провайдером гаманців, який використовувався Bybit. Потім вони отримали несанкціонований доступ через фішингові електронні листи.
Вони використовували шкідливий код для доступу до внутрішньої мережі, маскуючи зовнішні перекази як внутрішні переміщення активів. Це дозволило їм захопити контроль над смартконтрактом холодного гаманця.
MSMT зазначила, що в основних атаках за останні два роки Північна Корея часто надає перевагу атакам на сторонніх постачальників послуг, пов’язаних з біржами, замість прямих атак на самі біржі.
Процес відмивання коштів
MSMT детально описала ретельний дев’ятиетапний процес відмивання, який використовує Північна Корея для конвертації викрадених віртуальних активів у фіатну валюту:
1. Зловмисники обмінюють викрадені активи на криптовалюти, такі як ETH, на децентралізованій біржі (DEX).
2. Вони «змішують» кошти, використовуючи сервіси, такі як Tornado Cash, Wasabi Wallet або Railgun.
3. Вони конвертують ETH у BTC через сервіси мостів.
4. Вони переміщують кошти до холодного гаманця після проходження через рахунки централізованих бірж.
5. Вони розподіляють активи на різні гаманці після другого раунду змішування.
6. Вони обмінюють BTC на TRX (Tron) за допомогою мостів та P2P-торгів.
7. Вони конвертують TRX у стейблкоїн USDT.
8. Вони переводять USDT до брокера Over-the-Counter (OTC).
9. Брокер OTC ліквідує активи у місцеву фіатну валюту.
Найскладніший етап — це конвертація криптовалюти у придатну для використання фіатну валюту. Це здійснюється за допомогою брокерів OTC та фінансових компаній у третіх країнах, включаючи Китай, Росію та Камбоджу.
У звіті названо конкретних осіб, серед яких китайські громадяни Є Дінронг та Тан Йонгжі з Shenzhen Chain Element Network Technology та P2P-трейдер Ван Їцун.
Вони нібито співпрацювали з північнокорейськими суб’єктами для надання фальшивих посвідчень особи та сприяння відмиванню активів. Російські посередники також були залучені до ліквідації приблизно $60 млн з атаки на Bybit.
Крім того, Huione Pay, постачальник фінансових послуг під керівництвом Huione Group з Камбоджі, використовувався для відмивання.
«Громадянин Північної Кореї підтримував особисті стосунки з представниками Huione Pay та співпрацював з ними для обналичення віртуальних активів наприкінці 2023 року», — заявила MSMT.
MSMT висловила занепокоєння уряду Камбоджі у жовтні та грудні 2024 року щодо діяльності Huione Pay, яка підтримує кіберзлочинців Північної Кореї, визначених ООН. У результаті Національний банк Камбоджі відмовився поновити платіжну ліцензію Huione Pay; проте компанія продовжує працювати в країні.
“`