Похідні хакери Північної Кореї: "Рік ожиріння" 2025 року — рекордний рівень крадіжки коштів

2025 рік без сумніву став щедрим для північнокорейських хакерських груп. За даними звіту Chainalysis про хакерські атаки 2025 року, хоча кількість атак зменшилася значною мірою, сума викрадених коштів досягла історичного максимуму. Цей, здавалося б, парадоксальний феномен відображає все більш витончені методи роботи цих державних кіберзлочинних груп.

За лаштунками щедрого року: зменшення атак, але зростання викрадених коштів

У 2025 році вся криптоекосистема зазнала серйозних випробувань. За статистикою, загальна сума викрадених коштів перевищила 3,4 мільярда доларів, з яких лише у лютому сталася масштабна атака на Bybit, що спричинила збитки на 1,5 мільярда доларів.

Північнокорейські хакери у цьому «щедрому» році проявили себе особливо яскраво. У 2025 році вони викрали криптовалюти на суму до 2,02 мільярда доларів, що на 51% більше ніж у 2024 році (13,39 млрд доларів). Ще більш тривожно, що цей рік став найсерйознішим у історії північнокорейських крадіжок криптовалют, а загальна сума викрадених коштів вже склала 6,75 мільярда доларів.

Ще більш вражаючою є статистика: атаки, здійснені північнокорейськими групами, становили 76% усіх інцидентів вторгнення, встановивши новий рекорд. Хоча кількість підтверджених атак зменшилася на 74%, сума викрадених коштів значно зросла. Це свідчить про те, що північнокорейські хакери працюють більш ефективно — зменшують частоту атак, але зосереджують зусилля на більш цінних цілях.

Унікальна мережа відмивання: особливості роботи північнокорейських хакерів

Щоб досягти такого «щедрого» року, північнокорейські хакери використовують унікальні схеми відмивання грошей та мережі операцій. Їхня діяльність у цій сфері суттєво відрізняється від інших кіберзлочинців.

Особливості «поділу» у відмиванні коштів

Розподіл транзакцій північнокорейських хакерів має чіткий «подільний» характер: понад 60% операцій зосереджено на сумі до 50 тисяч доларів. Це кардинально відрізняється від логіки інших хакерів — понад 60% коштів, що переміщуються у ланцюгах, здійснюється у пакетах від 1 до 10 мільйонів доларів.

Явна перевага певних сервісів

Порівняно з іншими злочинцями, північнокорейські хакери демонструють виразну перевагу у виборі каналів відмивання:

• Переведення коштів через китайські сервіси та гарантійні платформи (+355% до понад 1000%): найяскравіша ознака — сильна залежність від китайських гарантійних сервісів і мереж відмивання, що складаються з численних менш регульованих учасників. Це значно відрізняє їх від інших злочинців.

• Міжланцюгові мости (+97%): високий рівень залежності від міжланцюгових мостів для переміщення активів між різними блокчейнами, що ускладнює їх відстеження.

• Міксери (+100%): активніше використання сервісів змішування для приховування слідів руху коштів.

• Професійні сервіси (+356%): стратегічне застосування таких платформ, як Huione, для підтримки процесів відмивання.

У той же час, північнокорейські хакери явно уникають популярних каналів відмивання, що використовують інші злочинці: кредитні протоколи (-80%), біржі без KYC (-75%), P2P-платформи (-64%), CEX (-25%) і DEX (-42%).

45 днів обігу коштів: розкриття багатоступеневого циклу відмивання

На початку 2025 року масивні викрадені кошти дали цінну інформацію правоохоронцям. Аналізуючи активність у ланцюгах, дослідники виявили, що північнокорейські хакери дотримуються структурованого багатоступеневого маршруту відмивання, який зазвичай триває близько 45 днів.

Перший етап: миттєве розподілення (0-5 днів)

Після атаки у перші кілька днів спостерігається низка аномальних активностей:

• Найбільше зростання потоків викрадених коштів у DeFi-протоколах (+370%), що є основною точкою входу
• Значне збільшення обсягів транзакцій у міксерах (+135-150%), що створює перший рівень маскування
• Цей етап — «терміновий» перший крок, спрямований на розмежування з початковою крадіжкою

Другий етап: первинна інтеграція (6-10 днів)

На другому тижні активізуються сервіси, що допомагають вводити кошти у широку екосистему:

• Біржі з меншими KYC-обмеженнями (+37%) і CEX (+32%) починають приймати кошти
• Другий рівень міксерів (+76%) продовжує активність з меншою інтенсивністю
• Мости між блокчейнами (наприклад, XMRt, +141%) допомагають розподіляти і приховувати рух коштів між ланцюгами
• Це ключовий перехідний етап, коли кошти починають виходити на потенційні точки виведення

Третій етап: довгий хвіст інтеграції (20-45 днів)

Останній етап — орієнтація на сервіси, що дозволяють конвертувати у фіат або інші активи:

• Біржі без KYC (+82%) і гарантійні сервіси (наприклад, «Морква-гарантія», +87%) демонструють значне зростання
• Миттєві біржі (+61%) і китайські платформи (наприклад, HuiWang, +45%) стають кінцевими точками обміну
• CEX (+50%) також приймають кошти, що свідчить про спроби легалізувати їх у легальних фінансових потоках
• Менш регульовані юрисдикції, наприклад, китайські мережі відмивання (+33%) і платформи Grinex (+39%), доповнюють цю модель

Зазвичай цей цикл триває близько 45 днів і дає важливу інформацію правоохоронцям і регуляторам. Така модель зберігається протягом багатьох років, що свідчить про обмеження у операційній діяльності північнокорейських груп, зумовлені обмеженими каналами доступу до фінансової інфраструктури та необхідністю узгоджень із посередниками.

Загроза для приватних користувачів зростає

Ще одним тривожним трендом у 2025 році стала активізація атак на особисті гаманці.

Зростання крадіжок у масштабах

Кількість викрадених особистих гаманців у 2025 році сягнула 158 тисяч — майже у три рази більше, ніж у 2022 році (54 тисячі). Кількість постраждалих зросла з 40 тисяч у 2022 до щонайменше 80 тисяч у 2025. Це, ймовірно, пов’язано з ширшим використанням криптовалют. Наприклад, у мережі Solana, яка має найбільшу кількість активних особистих гаманців, кількість крадіжок становить близько 26,5 тисячі випадків.

Зменшення середнього викраденого суми на одного постраждалого

Хоча кількість інцидентів і постраждалих зросла, у 2025 році середня сума викрадених коштів у одного випадку знизилася з пікових 1,5 мільярда доларів у 2024 до 713 мільйонів доларів. Це свідчить про те, що зростає кількість цільових користувачів, але кожен з них втрачає менше — важливий тренд.

Рівень ризику не рівномірний

Злочини на Ethereum і Tron мають найвищий рівень викрадень (за кількістю злочинних випадків на 10 тисяч гаманців), хоча бази користувачів у Base і Solana дуже великі, їхній рівень постраждалості нижчий. Це свідчить, що рівень ризику для приватних гаманців у криптоекосистемі не є рівномірним і залежить не лише від технічних факторів, а й від характеристик користувацьких груп, популярних застосунків і злочинної інфраструктури.

Неочікувані позитиви у безпеці DeFi

Незважаючи на «щедрий» 2025 рік для північнокорейських хакерів, у криптоекосистемі з’явилися обнадійливі сигнали — безпека у секторі DeFi покращується.

Зростання TVL у DeFi і стабільність збитків від атак

Дані демонструють три різні етапи:

• 2020-2021: TVL у DeFi і збитки від атак зростають синхронно
• 2022-2023: обидва показники знижуються
• 2024-2025: TVL зростає, а збитки залишаються стабільними

Це особливо помітно. TVL у DeFi значно відновився після низьких позначок 2023 року, але збитки від атак не зросли. Хоча у ці протоколи повернулися мільярди доларів, кількість атак у DeFi залишається низькою — це важливий сигнал.

Два фактори пояснюють цю різницю: по-перше, підвищення рівня безпеки — протоколи, ймовірно, впроваджують більш ефективні заходи безпеки, ніж у 2020-2021 роках; по-друге, зміщення цілей — зростання кількості крадіжок у приватних гаманцях і централізованих сервісах свідчить про те, що зловмисники переключають увагу на інші цілі.

Успішний захист проти Venus у 2025 році

У другій половині 2025 року інцидент із протоколом Venus показав, що покращені заходи безпеки дають реальні результати.

Зловмисники використали зламаний клієнт Zoom для отримання доступу до системи і спробували отримати довіреність на рахунок на 13 мільйонів доларів. Це могло мати катастрофічні наслідки, але за місяць до цього Venus запустив платформу Hexagate для моніторингу безпеки.

Ця платформа за 18 годин до атаки виявила підозрілі активності і одразу повідомила про них. Усього за 20 хвилин Venus призупинив роботу протоколу, запобігши будь-якому руху коштів. Реакція була швидкою і ефективною:

• через 5 годин — часткове відновлення функцій після перевірки безпеки
• через 7 годин — примусове ліквідування коштів зловмисника
• через 12 годин — повернення всіх викрадених коштів і відновлення роботи

Найважливіше — Venus провів голосування і заблокував активи зловмисника на суму 3 мільйони доларів. Зловмисник не отримав прибутку і втратив свої кошти.

Еволюція методів північнокорейських хакерів і майбутні загрози

Щоб пояснити, чому у 2025 році північнокорейські хакери зібрали щедрий урожай, потрібно врахувати не лише зростання викрадених сум, а й постійне удосконалення їхніх методів.

Від внутрішнього проникнення до складних соціальних інженерних схем

Зростає кількість випадків, коли північнокорейські хакери вставляють своїх співробітників у криптосервіси для отримання привілейованого доступу. Однак останнім часом ця модель зазнала кардинальних змін: вони вже не просто подають заявки на роботу і проникають під виглядом співробітників, а все частіше видають себе за рекрутерів відомих компаній Web3 і AI, організовують фальшиві процеси найму і під виглядом «технічного відбору» отримують логіни, паролі, вихідний код і доступ до VPN або SSO цільових компаній.

На рівні керівництва схеми соціальної інженерії включають фальшиві контакти з потенційними інвесторами або покупцями, використовуючи фейкові зустрічі і фальшиві ділові розслідування для збору конфіденційної інформації та доступу до цінної інфраструктури. Ця еволюція базується на ранніх схемах шахрайства з IT-працівниками.

Точкові атаки на цінні цілі

З 2022 по 2025 рік північнокорейські хакери зосереджуються на найбільш цінних об’єктах, і їхні атаки не розподілені рівномірно — вони орієнтовані на великі сервіси, щоб максимізувати ефект.

Стратегічне регулювання темпу атак

Три найбільші атаки 2025 року становили 69% усіх збитків, а співвідношення між найбільшим інцидентом і медіанним — вперше перевищило 1000 разів. Вплив атаки на Bybit показує, що при великих крадіжках зловмисники зменшують темп дій і зосереджуються на відмиванні.

Нові виклики 2026 року

2025 рік показав, що північнокорейські хакери мають високий потенціал для масштабних крадіжок. Хоча рівень захисту DeFi покращується, окремі успішні кейси, як Venus, демонструють, що безпека зростає, але історія з рекордним викраденням коштів свідчить про серйозні загрози для всієї екосистеми.

Для криптоіндустрії це означає необхідність посилювати захист цінних цілей і краще розпізнавати унікальні схеми відмивання північнокорейських груп. Їхня перевага у китайських гарантійних сервісах, міжланцюгових мостах і конкретних сумах транзакцій створює можливості для виявлення та розслідування.

З огляду на постійне використання криптовалют для фінансування державних пріоритетів і обходу міжнародних санкцій, криптоіндустрія має усвідомлювати, що поведінка північнокорейських груп суттєво відрізняється від типової злочинної діяльності. Враховуючи рекордний 2025 рік — зменшення кількості атак на 74%, але зростання викрадених коштів — можливо, ми бачимо лише вершину айсберга.

Ключове завдання 2026 року — виявити і запобігти масштабним крадіжкам, подібним до Bybit, до того, як вони стануть реальністю. Це вимагає від галузі підвищення рівня безпеки, постійного моніторингу та аналізу унікальних моделей роботи північнокорейських хакерів для формування ефективних стратегій захисту у майбутньому.