Киберпреступники из Северной Кореи достигли разрушительной вехи в 2025 году: украдено US$2 миллиардов

Хакеры, поддерживаемые Северной Кореей, завершили 2025 год с самым крупным сбором криптовалют за всю историю. Эта цифра — не просто число: кражи на сумму 2 миллиарда долларов представляют собой рост на 51% по сравнению с 2024 годом, доведя общий накопленный объем Республики Корея до 6,75 миллиарда долларов. Согласно последнему отчету Chainalysis, мы наблюдаем критическую эволюцию в глобальной сфере киберугроз.

Особенно тревожит не только масштаб этих данных, но и лежащий в их основе паттерн: меньше атак, но экспоненциально более разрушительных.

Поворот к атакам катастрофического масштаба

В предыдущие годы киберпреступники диверсифицировали свои цели. Они нацеливались на множество мелких и средних объектов в поисках объема. В 2025 году участники из Северной Кореи выбрали совершенно иной подход.

Они отвечали за 76% всех нарушений, направленных на корпоративные сервисы, что является рекордным показателем в истории. Это означает, что практически все крупные утечки в централизованные криптосервисы носили подпись Пхеньяна. В то время как другие преступные группы предпочитают количество, эти участники обладают ресурсами, специализацией и терпением для проведения немногих, но масштабных операций.

Этот сдвиг носит стратегический характер. Масштабная атака на крупную платформу вызывает геополитический эффект, создает регуляторное давление и парализует рынки. Экономика киберпреступности Северной Кореи стала индустриальной.

Современные деньги: как работают операции по отмыванию

После кражи наступает этап конвертации. И именно здесь проявляется операционная сложность Северной Кореи.

В отличие от других преступников, которые совершают крупные и легко отслеживаемые транзакции в цепочке, эти участники разбивают свои перемещения на аккуратные части, обычно менее 500 000 долларов США. Это игра терпения: множество мелких транзакций вместо одной крупной и очевидной.

Кошельки, связанные с Северной Кореей, демонстрируют заметную зависимость от трех конкретных каналов:

Обменные сервисы на китайском языке — региональные платформы, функционирующие как местные ворота входа
Децентрализованные мосты и миксеры — технические инструменты, разрывающие трассируемость средств
Гаранты и региональные посредники — посредники, облегчающие конвертацию в наличные

Обратите внимание, что не используют: протоколы DeFi, децентрализованные биржи, платформы peer-to-peer. Причина ясна: структурные ограничения и зависимость от региональных посредников вместо доступа к полной глобальной финансовой инфраструктуре.

Анализ Chainalysis показывает удивительный паттерн: крупные кражи следуют окну отмывки примерно в 45 дней. За этот период средства проходят через разные стадии — от немедленной маскировки до окончательной интеграции. Хотя это не универсально, постоянство этой временной линии в нескольких операциях указывает на высоко стандартизированные процессы.

Искусственный интеллект как суперсила преступников

Как Северная Корея осуществляет такие масштабные операции с такой точностью? Ответ, по словам Эндрю Фирмана, руководителя отдела национальной безопасности в Chainalysis, сводится к ключевому фактору: искусственному интеллекту.

«Северная Корея облегчает отмывание краж криптовалют с помощью последовательности и плавности, указывающих на использование ИИ», — объяснил он. Механизм отмывки структурирует средства через миксеры, мосты и протоколы с начальных этапов, создавая рабочий поток, сочетающий множество инструментов конвертации.

«Чтобы достигнуть такой эффективности при краже объемов, Северная Корея нуждается в масштабной сети отмывки вместе с оптимизированными механизмами, которые, вероятно, реализуются с помощью ИИ».

Это не технологическая паранойя. Это наблюдение за операционной инфраструктурой: скорость конвертации, точность сумм, временная согласованность и сложность операционной безопасности соответствуют автоматизации с использованием ИИ.

Поляризованный ландшафт киберугроз

Между тем, остальная часть крипто-преступного ландшафта показывает интересный контраст. Угрозы, связанные с отдельными кошельками, составляли всего 20% от общего украденного в 2025 году, снизившись с 44% в 2024. Хотя число инцидентов против отдельных пользователей увеличилось до 158 000, средняя сумма на жертву упала на 52%, до 713 миллионов долларов в целом.

Перевод: злоумышленники нацеливаются на большее число людей, но крадут у каждого меньше.

Северная Корея занимает противоположную позицию: массовые и очень редкие, но катастрофические кражи. Большинство групп работают там, где есть объем мелких целей. Участники из Северной Кореи действуют там, где возможен максимальный эффект.

Что это значит для будущего

По мере завершения 2025 года и приближения к 2026 году, усилия Северной Кореи в области криптовзломов не показывают признаков ослабления. Данные свидетельствуют о все более поляризованной среде угроз: кражи низкой стоимости у отдельных лиц с одной стороны, редкие, но разрушительные утечки на уровне сервиса — с другой, при этом Северная Корея уверенно занимает центральное место в этом спектре.

Для команд по соблюдению правил и правоохранительных органов эти выводы служат маяком: окно в 45 дней для отмывки предоставляет временную возможность перехватить средства до их окончательной конвертации. Но для этого требуется быстрая координация между платформами, юрисдикциями и аналитиками-специалистами.

Для криптовалютных платформ послание ясно: когда злоумышленник — государство с промышленными ресурсами в области кибербезопасности и доступом к ИИ, традиционные защиты могут оказаться недостаточными.