Kryptovaluta-tyveri fra Nord-Korea i 2025
Hackere fra Den demokratiske folkerepublikken Korea, også kjent som DPRK eller Nord-Korea, har stjålet kryptovaluta verdt 2,02 milliarder dollar så langt i 2025, ifølge en rapport fra Chainalysis som ble offentliggjort torsdag. Dette representerer en økning på 51 % fra fjorårets tall, og er det største året på rekord for kryptotyveri relatert til DPRK.
Totalt har kryptovaluta opplevd tyverier på 3,4 milliarder dollar i år, noe som betyr at DPRK-angrep står for 59 % av disse stjålne midlene. Chainalysis mener at dataene viser en «utvikling» fra Nord-Korea, ettersom de begynner å utføre færre angrep, men påfører betydelig mer skade med hvert angrep.
Februars angrep på Bybit, som FBI knyttet til DPRK, med 1,5 milliarder dollar, er et sentralt eksempel på denne utviklingen.
«For kryptovalutaindustrien krever denne utviklingen økt årvåkenhet rundt høyverdige mål og forbedret oppdagelse av DPRKs spesifikke hvitvaskingsmønstre,» står det i rapporten. «Deres konsistente preferanser for visse tjenestetyper og overføringsbeløp gir oppdagelsesmuligheter, skiller dem fra andre kriminelle, og kan hjelpe etterforskere med å identifisere deres atferdsmønster på kjeden.»
Chainalysis hevder å ha identifisert et distinkt tre-bølge, 45 dager langt hvitvaskingsmønster som DPRK-angripere vanligvis følger. Kjennetegn inkluderer bruk av kinesisk-språklige tjenester, stor avhengighet av å brokoble eiendeler på tvers av kjeder for å forvirre sporing, og økt bruk av kryptomiksingstjenester. Dette mønsteret, sier rapporten, har vedvart de siste årene.
Chainalysis svarte ikke på Decrypts forespørsel om kommentar angående hvordan analytikere vet at disse angrepene kom fra DPRK og ikke fra andre grupper. I økende grad kommer angrep fra ondsinnede aktører som blir ansatt av kryptoselskaper. Angriperen jobber deretter for å få privilegert tilgang før de stjeler viktig informasjon eller midler.
Binance fortalte Decrypt i sommer at nordkoreanske hackere prøver å bli ansatt av den store sentraliserte børsen hver eneste dag. Jimmy Su, Binances sjef for sikkerhet, forklarte at angriperne til og med kan bruke AI-generert livevideo og stemmeskiftere på samtaler i et forsøk på å bli ansatt. Børsen har identifisert flere vanlige kjennetegn ved DPRK-angripere, og deler denne informasjonen med andre kryptobørser via Telegram og Signal.
I tillegg ble nordkoreanske hackere funnet å forgifte NPM-pakker, som regelmessig brukes i offentlige kodebiblioteker, for å infiltrere prosjekter. Igjen anerkjente Binance denne trusselen og hevder at utviklerne deres er tvunget til å gå gjennom hvert kodebibliotek med lupe.
«Etter hvert som Nord-Korea fortsetter å bruke kryptovalutatyveri for å finansiere statlige prioriteringer og omgå internasjonale sanksjoner, må industrien erkjenne at denne trusselaktøren opererer etter andre regler enn typiske nettkriminelle,» sa Chainalysis-rapporten. «Landets rekordstore prestasjon i 2025 – oppnådd med 74 % færre kjente angrep – antyder at vi kanskje bare ser den mest synlige delen av aktivitetene deres.»
«Utfordringen for 2026 vil være å oppdage og forhindre disse høyinnvirkningsoperasjonene før DPRK-tilknyttede aktører påfører et nytt Bybit-størrelsesincident,» avsluttet rapporten.
