Многосторонняя группа мониторинга санкций (MSMT) представила обновлённый отчёт о кибероперациях КНДР. В документе собраны данные о том, как страна на государственном уровне использует хакерские группировки, зарубежных IT-специалистов и криптовалютные схемы для обхода санкций ООН и финансирования военных программ.
Киберпрограмма, сопоставимая со сверхдержавами
По данным отчёта, возможности КНДР в киберсфере за последние годы значительно выросли. В стране действует многоуровневая структура, в которую входят исследовательские центры, оперативные подразделения и сеть зарубежных IT-работников. Именно они обеспечивают проведение атак, кражу данных, разработку инструментов и вывод средств через многочисленных посредников.
Рост хищений криптовалют
Кражи цифровых активов остаются одним из основных источников финансирования.
- В 2024 году северокорейские группировки похитили не менее $1,19 млрд,
- а за девять месяцев 2025 года — ещё $1,65 млрд.
Общий объём за период январь 2024 — сентябрь 2025 годов превысил $2,8 млрд.
Самый крупный эпизод — взлом криптобиржи Bybit, откуда в феврале 2025 года было выведено почти $1,5 млрд. От атак пострадали также японская DMM Bitcoin, индийская WazirX и ряд других площадок.
Кто стоит за атаками
Среди наиболее активных группировок, фигурирующих в отчёте:
- TraderTraitor (Jade Sleet) — лидер по объёму хищений, использует сложную социальную инженерию и атаки на цепочки поставок. На их счету около $2,58 млрд похищенных средств за 2024–2025 годы.
- CryptoCore (Sapphire Sleet) — специализируется на spear-phishing и компрометации сотрудников криптокомпаний.
- Citrine Sleet (AppleJeus) — известна распространением вредоносного ПО и атаками на DeFi-платформы.
- Зарубежные IT-работники КНДР, работающие под чужими личностями, также участвовали в отдельных кражах и получили роль в схемах вывода средств.
Тактики: от фальшивых собеседований до использования ИИ
Северокорейские операции стали более разнообразными. Среди распространённых методов:
- создание «поддельных работодателей» и проведение фальшивых интервью, где жертвам предлагают установить вредоносные программы;
- компрометация сторонних поставщиков и хостингов;
- вымогательские атаки с продажей данных;
- сотрудничество с зарубежными преступными группами;
- применение ИИ для генерации фишинговых сообщений и автоматизации атак.
Отмывание украденных активов
Украденные криптовалюты проходят через сложные цепочки:
- обмен через мосты и агрегаторы;
- повторное перемешивание в миксерах;
- вывод через OTC-брокеров в третьих странах;
- конвертация в наличные или иностранную валюту.
В отчёте отмечается, что КНДР активно использует USDT и проводит расчёты через платформы, зарегистрированные в разных юрисдикциях.
Цели атак: криптовалюты, военные разработки и инфраструктура
Помимо финансовых операций, группировки КНДР нацелены на данные оборонных компаний, исследовательских центров и организаций из сферы высоких технологий.
Отдельно отмечены атаки на инфраструктуру Южной Кореи, включая отраслевые порталы и поставщиков ПО.
Глобальная тенденция
MSMT подчёркивает: киберугрозы со стороны КНДР стали системными. Группировки объединяют социальную инженерию, вредоносные цепочки поставок, внедрение IT-работников и сложные схемы отмывания. Это формирует устойчивую международную сеть, через которую страна получает финансирование, технологии и доступ к зарубежным ресурсам.
Обменять криптовалюту на наличные прямо сейчас в Aifory Pro