Согласно последнему отчету «Crypto Crime Report» от компании Chainalysis, переданному изданию The Hacker News, общий объем краж криптовалюты в мире с января по начало декабря 2025 года превысил 3,4 миллиарда долларов. Из этой суммы не менее 2,02 миллиарда долларов приходится на хищения, связанные с КНДР. Это означает, что северокорейские хакеры контролируют рекордные 76% всех взломов сервисов. По сравнению с 2024 годом, когда сумма украденного составляла 1,3 миллиарда долларов, активность злоумышленников выросла на 51%, что в денежном выражении составляет увеличение на 681 миллион долларов.
Нижняя граница оценки совокупных средств, похищенных КНДР за все время наблюдений, теперь достигает 6,75 миллиарда долларов. Основным государственным спонсором этой деятельности выступает Корейская Народно-Демократическая Республика, а ключевым исполнителем является группировка Lazarus Group, связанная с Генеральным разведывательным бюро (RGB) в Пхеньяне. В период с 2020 по 2023 год эта группа провела более 25 ограблений, выведя не менее 200 миллионов долларов. Главными целями этих операций остаются сбор конфиденциальных данных и получение незаконного дохода для обхода международных санкций.
Самым крупным инцидентом 2025 года стал взлом биржи Bybit в феврале, в результате которого было украдено 1,5 миллиарда долларов, что составило большую часть годового объема хищений. Ответственность за эту атаку возлагается на кластер угроз TraderTraitor, также известный под именами Jade Sleet и Slow Pisces. Технический анализ, проведенный компанией Hudson Rock, связал взлом с компьютером, зараженным вредоносным ПО Lumma Stealer. Идентификатором послужил адрес электронной почты s_w_m_01@163[.]com, обнаруженный в ходе расследования.
В прошлом месяце жертвой атаки стала крупнейшая криптовалютная биржа Южной Кореи — Upbit. Сумма ущерба составила 36 миллионов долларов. Эксперты полагают, что за этим инцидентом также стоит печально известная Lazarus Group. Хакеры продолжают совершенствовать свои методы, используя сложную инфраструктуру для отмывания денег, которая включает китайскоязычные сервисы по перемещению средств, кросс-чейн мосты, миксеры и специализированные торговые площадки, такие как Huione.
Для проникновения в корпоративные сети злоумышленники активно используют кампанию «Operation Dream Job» («Операция Работа мечты»). Через LinkedIn и WhatsApp они заманивают сотрудников оборонных, производственных, химических, аэрокосмических и технологических предприятий предложениями о высокооплачиваемой работе. В ходе атак внедряется вредоносное программное обеспечение, включая BURNBOOK, MISTPEN и BADCALL, который теперь доступен и в версии для Linux.
Параллельно развивается схема «Wagemole», в рамках которой северокорейские IT-специалисты внедряются в компании под ложными предлогами для получения привилегированного доступа. Для прикрытия используются подставные фирмы, такие как DredSoftLabs и М⃰mint Studio. Основными мишенями этой тактики становятся криптобиржи, кастодианы и Web3-компании, что позволяет хакерам осуществлять боковое перемещение внутри атакованных сетей.
Отчет Security Alliance, опубликованный в прошлом месяце, выявил новые тенденции в вербовке. Теперь агенты КНДР сами выступают в роли рекрутеров на платформах Upwork и Freelancer. Используя заранее подготовленные сценарии, они просят жертв помочь сделать ставку на проект или выполнить его, требуя установки инструментов удаленного доступа, таких как AnyDesk или Chrome Remote Desktop. Это позволяет злоумышленникам действовать от имени верифицированной личности жертвы, используя ее IP-адрес для обхода систем безопасности.
Реальные последствия такой деятельности подтверждаются судебными процессами. Министерство юстиции США добилось приговора для 40-летнего жителя Мэриленда Мин Фуонг Нгок Вонга, который получил 15 месяцев тюрьмы. С 2021 по 2024 год Вонг позволял гражданам Северной Кореи, базирующимся в Шэньяне (Китай), использовать свою личность и учетные данные. Его сообщником выступал иностранный гражданин, известный как «Джон Доу» или «Уильям Джеймс».
В результате этой мошеннической схемы северокорейские специалисты смогли фиктивно трудоустроиться в 13 различных американских компаний. Одним из самых вопиющих фактов стало получение контракта в Федеральном управлении гражданской авиации (FAA). За работу, фактически выполненную зарубежными заговорщиками, Вонг получил зарплату на общую сумму более 970 000 долларов, способствуя тем самым финансированию незаконных операций КНДР.
Изображение носит иллюстративный характер
Нижняя граница оценки совокупных средств, похищенных КНДР за все время наблюдений, теперь достигает 6,75 миллиарда долларов. Основным государственным спонсором этой деятельности выступает Корейская Народно-Демократическая Республика, а ключевым исполнителем является группировка Lazarus Group, связанная с Генеральным разведывательным бюро (RGB) в Пхеньяне. В период с 2020 по 2023 год эта группа провела более 25 ограблений, выведя не менее 200 миллионов долларов. Главными целями этих операций остаются сбор конфиденциальных данных и получение незаконного дохода для обхода международных санкций.
Самым крупным инцидентом 2025 года стал взлом биржи Bybit в феврале, в результате которого было украдено 1,5 миллиарда долларов, что составило большую часть годового объема хищений. Ответственность за эту атаку возлагается на кластер угроз TraderTraitor, также известный под именами Jade Sleet и Slow Pisces. Технический анализ, проведенный компанией Hudson Rock, связал взлом с компьютером, зараженным вредоносным ПО Lumma Stealer. Идентификатором послужил адрес электронной почты s_w_m_01@163[.]com, обнаруженный в ходе расследования.
В прошлом месяце жертвой атаки стала крупнейшая криптовалютная биржа Южной Кореи — Upbit. Сумма ущерба составила 36 миллионов долларов. Эксперты полагают, что за этим инцидентом также стоит печально известная Lazarus Group. Хакеры продолжают совершенствовать свои методы, используя сложную инфраструктуру для отмывания денег, которая включает китайскоязычные сервисы по перемещению средств, кросс-чейн мосты, миксеры и специализированные торговые площадки, такие как Huione.
Для проникновения в корпоративные сети злоумышленники активно используют кампанию «Operation Dream Job» («Операция Работа мечты»). Через LinkedIn и WhatsApp они заманивают сотрудников оборонных, производственных, химических, аэрокосмических и технологических предприятий предложениями о высокооплачиваемой работе. В ходе атак внедряется вредоносное программное обеспечение, включая BURNBOOK, MISTPEN и BADCALL, который теперь доступен и в версии для Linux.
Параллельно развивается схема «Wagemole», в рамках которой северокорейские IT-специалисты внедряются в компании под ложными предлогами для получения привилегированного доступа. Для прикрытия используются подставные фирмы, такие как DredSoftLabs и М⃰mint Studio. Основными мишенями этой тактики становятся криптобиржи, кастодианы и Web3-компании, что позволяет хакерам осуществлять боковое перемещение внутри атакованных сетей.
Отчет Security Alliance, опубликованный в прошлом месяце, выявил новые тенденции в вербовке. Теперь агенты КНДР сами выступают в роли рекрутеров на платформах Upwork и Freelancer. Используя заранее подготовленные сценарии, они просят жертв помочь сделать ставку на проект или выполнить его, требуя установки инструментов удаленного доступа, таких как AnyDesk или Chrome Remote Desktop. Это позволяет злоумышленникам действовать от имени верифицированной личности жертвы, используя ее IP-адрес для обхода систем безопасности.
Реальные последствия такой деятельности подтверждаются судебными процессами. Министерство юстиции США добилось приговора для 40-летнего жителя Мэриленда Мин Фуонг Нгок Вонга, который получил 15 месяцев тюрьмы. С 2021 по 2024 год Вонг позволял гражданам Северной Кореи, базирующимся в Шэньяне (Китай), использовать свою личность и учетные данные. Его сообщником выступал иностранный гражданин, известный как «Джон Доу» или «Уильям Джеймс».
В результате этой мошеннической схемы северокорейские специалисты смогли фиктивно трудоустроиться в 13 различных американских компаний. Одним из самых вопиющих фактов стало получение контракта в Федеральном управлении гражданской авиации (FAA). За работу, фактически выполненную зарубежными заговорщиками, Вонг получил зарплату на общую сумму более 970 000 долларов, способствуя тем самым финансированию незаконных операций КНДР.
