«Жирный год» хакеров из Северной Кореи: кража средств в 2025 году достигнет рекордных показателей

2025 год безусловно стал богатым на события для хакерских групп Северной Кореи. Согласно отчету Chainalysis о кибератаках 2025 года, несмотря на значительное сокращение количества атак, северокорейские хакеры установили рекорд по украденной сумме средств — это противоречие отражает все более изощренные методы их преступной деятельности.

За кулисами богатого года: снижение числа атак, рост кражи средств

В 2025 году криптоэкосистема столкнулась с серьезными испытаниями. По статистике, за год было украдено более 3,4 миллиарда долларов, из которых только в феврале в результате крупной хакерской атаки на Bybit было потеряно 1,5 миллиарда долларов.

Особенно выделялись действия северокорейских хакеров в этот «урожайный» год. В 2025 году они похитили криптовалют на сумму до 2,02 миллиарда долларов, что на 51% больше по сравнению с 2024 годом (1,339 миллиарда долларов). Более того, это стало самым тяжелым годом по количеству украденных средств, а общий украденный объем достиг 6,75 миллиарда долларов.

Еще более поразительно, что атаки Северной Кореи составляли 76% всех инцидентов взлома, что стало рекордом. Несмотря на сокращение подтвержденных случаев атак на 74%, сумма украденных средств значительно выросла. Это свидетельствует о том, что северокорейские хакеры работают более эффективно — они реже совершают атаки, но сосредотачивают усилия на более ценных целях.

Уникальные схемы отмывания денег: особенности работы северокорейских хакеров

Успех «урожайного» года связан с уникальными схемами отмывания денег и особенностями их операционной сети. Их методы отличаются от других киберпреступников.

Особенности «разделения» схем отмывания

Деятельность северокорейских хакеров по отмыванию денег демонстрирует явную модель «разделения»: более 60% транзакций сосредоточено на суммах до 50 тысяч долларов. Это кардинально отличается от логики других групп — более 60% средств, перемещаемых по цепочке, проходят в партиях на сумму от 1 до 10 миллионов долларов.

Явные предпочтения в использовании определенных сервисов

В отличие от других хакеров, северокорейские злоумышленники проявляют ярко выраженные предпочтения в схемах отмывания:

• Переводы и гарантированные сервисы на китайском языке (+355% и более 1000%): это наиболее заметная особенность. Они сильно зависят от китайских гарантийных сервисов и сети отмывочных операторов с слабым контролем, что значительно превышает показатели других преступных групп.

• Мосты между блокчейнами (+97%): активно используют межцепочные мосты для перемещения активов между разными блокчейнами, усложняя отслеживание.

• Микшеры (+100%): чаще используют сервисы смешивания для сокрытия следов движения средств.

• Профессиональные сервисы (+356%): стратегически применяют такие платформы, как Huione, для поддержки схем отмывания.

В то же время, северокорейские хакеры избегают популярных каналов отмывания, используемых другими группами: кредитные протоколы (-80%), биржи без KYC (-75%), P2P-платформы (-64%), централизованные биржи (CEX, -25%) и децентрализованные биржи (DEX, -42%).

45-дневный цикл движения средств: раскрытие многоэтапной схемы отмывания

В начале 2025 года большое количество украденных средств поступило в сеть, что дало правоохранительным органам ценную информацию. Анализ цепочек показал, что северокорейские хакеры следуют структурированной многоэтапной схеме отмывания, которая обычно занимает около 45 дней.

Первый этап: немедленное разделение (дни 0-5)

В первые дни после атаки наблюдается ряд аномальных активностей:

• Максимальный рост потоков украденных средств в DeFi-протоколах (+370%), что делает их основным входным пунктом
• Значительный рост транзакций через микшеры (+135-150%), создавая первый уровень маскировки
• Этот этап — «первая ступень», направленная на отделение от первоначальной кражи

Второй этап: начальная интеграция (дни 6-10)

На второй неделе схемы начинают переключаться на сервисы, помогающие вводить деньги в более широкую экосистему:

• Биржи с меньшими требованиями KYC (+37%) и CEX (+32%) начинают принимать средства
• Второй уровень микшеров (+76%) продолжает работу с меньшей интенсивностью
• Межцепочные мосты (например, XMRt, +141%) помогают распределять и скрывать движение средств между блокчейнами
• Это важный переходный этап, когда деньги начинают выходить на потенциальные точки вывода

Третий этап: долгосрочная интеграция (дни 20-45)

Заключительный этап — использование сервисов, позволяющих в конечном итоге обменять средства на фиат или другие активы:

• Биржи без KYC (+82%) и гарантированные сервисы (например, «картофельные гарантии», +87%) показывают заметный рост
• Мгновенные обменники (+61%) и китайские платформы (например, HuiWang, +45%) становятся финальными точками обмена
• CEX (+50%) также принимают средства, что свидетельствует о попытках смешать нелегальные деньги с легальными
• Платформы с меньшим регулированием, такие как китайские сети отмывания (+33%) и Grinex (+39%), дополняют эту модель

Этот цикл, обычно длящийся около 45 дней, дает правоохранительным органам важную информацию. Такой устойчивый сценарий наблюдается уже много лет и свидетельствует о том, что у хакеров есть ограничения в операциях, связанные с ограниченными каналами доступа к финансовым инфраструктурам и необходимостью координации с посредниками.

Угрозы для частных пользователей продолжают расти

В «урожайном» 2025 году наблюдается тревожная тенденция — рост атак на личные кошельки.

Масштабные кражи

В 2025 году число случаев кражи с личных кошельков достигло 158 тысяч, что почти в три раза больше по сравнению с 54 тысячами в 2022 году. Количество пострадавших увеличилось с 40 тысяч до как минимум 80 тысяч человек. Такой рост, вероятно, связан с более широким распространением криптовалют. Например, одна из крупнейших по активности цепочек — Solana — лидирует по количеству краж, пострадало около 26,5 тысяч пользователей.

Средний ущерб на одного пострадавшего снизился

Несмотря на рост числа инцидентов и пострадавших, сумма украденных у каждого в 2025 году снизилась с пика в 1,5 миллиарда долларов в 2024 году до 713 миллионов долларов. Это говорит о том, что злоумышленники охотятся за большим числом пользователей, а не за крупными суммами — важный сдвиг.

Распределение рисков

Самые высокие показатели краж на 10 тысяч кошельков зафиксированы в Ethereum и TRON, несмотря на огромную базу пользователей в Base и Solana, их уровень пострадавших ниже. Это показывает, что риски для личных кошельков в криптоэкосистеме неравномерны и зависят не только от технических факторов, но и от характеристик пользовательской базы, популярных приложений и инфраструктуры преступников.

Неожиданный прогресс в безопасности DeFi

Несмотря на «урожайный» 2025 год для северокорейских хакеров, в криптоэкосистеме появились обнадеживающие сигналы — уровень безопасности DeFi улучшается.

Рост TVL и стабильность потерь от атак

Данные показывают три ключевых этапа:

• 2020-2021 годы: TVL DeFi и потери от атак росли синхронно
• 2022-2023 годы: оба показателя снижались
• 2024-2025 годы: TVL восстанавливается, а потери остаются на низком уровне

Особенно заметно, что несмотря на значительный рост TVL после 2023 года, потери от атак не увеличились. Множество миллиардов долларов вернулось в эти протоколы, а количество атак в DeFi остается низким — важное изменение.

Два фактора объясняют эту тенденцию. Во-первых, повышение уровня безопасности — протоколы, вероятно, внедряют более эффективные меры защиты, чем в 2020-2021 годах. Во-вторых, происходит смещение целей — рост краж с личных кошельков и атак на централизованные сервисы свидетельствует о том, что злоумышленники переключают внимание на другие цели.

Успешный пример защиты протокола Venus

Инцидент с протоколом Venus во второй половине 2025 года ярко продемонстрировал эффективность новых мер безопасности.

Тогда злоумышленники использовали взломанный клиент Zoom для получения доступа к системе и убедили пользователя дать им полномочия на аккаунт с активами на 13 миллионов долларов. Это могло привести к катастрофе, но за месяц до этого Venus запустил платформу Hexagate для мониторинга безопасности.

Эта платформа за 18 часов до атаки обнаружила подозрительную активность и сразу же предупредила о ней. В течение 20 минут протокол был приостановлен, что остановило любые движения средств. Реакция была быстрой и решительной:

• В течение 5 часов после проверки безопасность была частично восстановлена
• В течение 7 часов — заблокированы кошельки злоумышленников
• В течение 12 часов — все украденные средства возвращены, сервисы возобновлены

Особенно важно, что Venus провел голосование и заморозил активы злоумышленника на сумму 3 миллиона долларов. Злоумышленник не получил выгоды, а потерял свои деньги.

Эволюция методов северокорейских хакеров и будущие угрозы

Успех «урожайного» 2025 года связан не только с ростом украденных сумм, но и с постоянным развитием методов атак.

От внутренней разведки к сложным социальным инженериям

Все чаще северокорейские хакеры внедряют IT-специалистов внутрь криптосервисов для получения привилегий. Но недавно связанные с Северной Кореей группы полностью изменили тактику: они перестали просто устраиваться на работу и проникать как сотрудники, а все чаще маскируются под рекрутеров известных Web3 и AI-компаний, проводят фальшивые собеседования и используют «технический отбор» для получения логинов, исходных кодов и доступа к VPN или SSO жертв.

На уровне руководства применяются аналогичные социальные инженерные схемы — под видом стратегических инвесторов или покупателей проводят фальшивые встречи и разведку систем, а также используют ложные проверки добросовестности, чтобы получить доступ к чувствительным данным и инфраструктуре. Эти методы развиваются на базе ранних мошеннических схем с IT-работниками.

Точные атаки на крупные цели

С 2022 по 2025 год атаки северокорейских хакеров сосредоточены на наиболее ценных объектах, а неравномерность распределения по масштабам краж подтверждает, что они нацелены на крупные сервисы для максимального эффекта.

Стратегическая корректировка ритма атак

Три крупнейших атаки 2025 года составили 69% всех потерь, а соотношение между крупнейшей по масштабу атакой и медианой всех инцидентов впервые превысило 1000 раз. Влияние инцидента на Bybit показывает, что при крупных кражах хакеры снижают активность и переключаются на отмывание денег.

Новые вызовы 2026 года

Успех северокорейских хакеров в 2025 году ярко показывает сложность современной криптобезопасности. Несмотря на улучшения защиты DeFi и успешные кейсы вроде Venus, рекордные показатели по кражам средств свидетельствуют о том, что вся экосистема остается под угрозой.

Для индустрии важно усилить контроль за крупными целями и повысить распознавание специфических схем отмывания, характерных для Северной Кореи. Их предпочтения — китайские гарантии, межцепочные мосты и определенные суммы переводов — создают возможности для обнаружения и расследования.

Поскольку Северная Корея продолжает использовать криптовалюты для финансирования национальных приоритетов и обхода санкций, важно помнить, что их операционная модель существенно отличается от типичных киберпреступных групп. Рекордные показатели 2025 года — увеличение краж на фоне снижения числа атак — показывают, что мы видим лишь верхушку айсберга.

Ключевая задача 2026 года — обнаружить и предотвратить крупные атаки, подобные Bybit, до их осуществления. Для этого необходимо не только повышать уровень защиты, но и постоянно мониторить и анализировать уникальные модели деятельности северокорейских хакеров, чтобы подготовить эффективные стратегии защиты в будущем.