Кіберзлочинці з Північної Кореї досягли руйнівної віхи у 2025 році: викрадено US$2 мільярдів

Хакери, підтримувані Північною Кореєю, завершили 2025 рік із найбільшим збором криптовалют за всю історію. Ця цифра — не просто число: викрадені $2 мільярди США становлять зростання на 51% порівняно з 2024 роком, доводячи загальний накопичений обсяг Північної Кореї до $6.750 мільярдів. За останнім звітом Chainalysis, ми спостерігаємо критичну еволюцію у глобальному ландшафті кіберзагроз.

Що робить ці дані особливо тривожними, так це не лише масштаб, а й підґрунтя патерну: менше атак, але експоненційно більш руйнівних.

Зміна в бік масштабних катастрофічних атак

У попередні роки кіберзлочинці диверсифікували свої цілі. Вони націлювалися на кілька малих і середніх об’єктів у пошуках обсягу. У 2025 році актори з Північної Кореї грали зовсім іншу гру.

Вони відповідальні за 76% усіх порушень, спрямованих на корпоративні сервіси — найвищий відсоток у історії. Це означає, що практично всі великі витоки до централізованих криптосервісів носили цифровий підпис Пхеньяна. У той час як інші кримінальні групи обирають кількість, ці актори мають ресурси, спеціалізацію та терпіння для запуску кількох, але масштабних операцій.

Зміна є стратегічною. Масштабна атака на велику платформу створює геополітичний вплив, тиск регуляторів і паралізує ринки. Економіка кіберзлочинності Північної Кореї стала індустріальною.

Складні машини для заробітку: як працюють операції з відмивання

Після викрадення йде конвертація. І саме тут операційна складність Північної Кореї стає помітною.

На відміну від інших злочинців, які здійснюють великі та легко відстежувані трансакції у ланцюгу, ці актори дроблять свої рухи на обережні частки, зазвичай менше ніж $500 000. Це гра терпіння: кілька малих транзакцій замість однієї великої та очевидної.

Гаманці, пов’язані з Північною Кореєю, демонструють значну залежність від трьох конкретних каналів:

Обміни у китайських сервісах — регіональні платформи, що працюють як місцеві ворота Децентралізовані мости та сервіси змішування — технічні інструменти, що руйнують трасуваність фондів Гарантії та регіональні посередники — посередники, що сприяють конвертації у готівку

Зверніть увагу, що не використовують: протоколи DeFi, децентралізовані біржі, платформи peer-to-peer. Причина ясна: структурні обмеження та залежність від регіональних посередників замість доступу до повної глобальної фінансової інфраструктури.

Аналіз Chainalysis за часом виявляє дивовижний патерн: великі викрадення слідують за вікном відмивання приблизно 45 днів. За цей період кошти проходять через різні фази, від негайної маскування до остаточної інтеграції. Хоча це не універсально, послідовність цієї часової лінії між кількома операціями свідчить про високий рівень стандартизації процесів.

Штучний інтелект як суперзброя злочинця

Як Північна Корея виконує таку масштабну операцію з такою точністю? Відповідь, за словами Ендрю Фірмана, керівника відділу національної безпеки Chainalysis, полягає у ключовому факторі: штучному інтелекті.

“Північна Корея сприяє відмиванню викрадених криптовалют із послідовністю та плавністю, що свідчить про використання ШІ”, — пояснив він. Механізм відмивання структурує фонди через змішувачі, мости та протоколи з початкових етапів, створюючи робочий потік, що поєднує кілька інструментів конвертації.

“Щоб досягти такої ефективності у викраденні таких обсягів, Північна Корея потребує масштабної мережі відмивання разом із оптимізованими механізмами, які ймовірно проявляються у використанні ШІ”.

Це не технологічна паранойя. Це спостереження за операційною інфраструктурою: швидкість конвертації, точність сум, тимчасова послідовність і складність операційної безпеки узгоджуються з інтелектуальною автоматизацією.

Поляризований ландшафт кіберзагроз

Тим часом решта кримінального криптопейзажу демонструє цікаве протиставлення. Відкриття гаманців окремих користувачів становили лише 20% від загальної викраденої суми у 2025 році, знизившись із 44% у 2024. Хоча кількість інцидентів із окремими користувачами зросла до 158 000, середній збиток на жертву знизився на 52% до $713 мільйонів усього.

Переклад: зловмисники цілаться у більше людей, але крадуть менше у кожного.

Північна Корея знаходиться на протилежному кінці спектра: масові викрадення, дуже рідкісні, але катастрофічні. Більшість груп працює там, де є обсяг малих цілей. Актори з Північної Кореї працюють там, де максимальний вплив.

Що це означає для майбутнього

Зі завершенням 2025 року і рухом до 2026 року зусилля Північної Кореї у криптовалютних хакерствах не показують ознак зменшення. Дані свідчать про все більш поляризоване середовище загроз: викрадення низької вартості для окремих осіб з одного боку, рідкісні, але руйнівні порушення рівня сервісу — з іншого, з Північною Кореєю міцно в центрі останніх.

Для команд з дотримання правил і правоохоронних органів ці висновки є маяком: 45-денне вікно відмивання дає тимчасову можливість перехопити кошти перед їх остаточною конвертацією. Але це вимагає швидкої координації між платформами, юрисдикціями і аналітиками-спеціалістами.

Для криптовалютних платформ послання ясне: коли зловмисник — держава-агресор із промисловими ресурсами кібербезпеки та доступом до штучного інтелекту, традиційні засоби захисту можуть бути недостатніми.