Корейські хакери здійснили крадіжки криптовалют на суму 2 мільярди доларів у 2025 році, повідомляє Chainalysis

Групи злочинців, пов’язані з КНДР, посилили свої операції на ринку криптовалют у 2025 році, встановивши новий руйнівний рекорд. За останнім звітом Chainalysis, корейські хакери змогли викрасти щонайменше 2 мільярди доларів у цифрових активів протягом року, що на 51% більше порівняно з викраденими сумами у 2024 році. Цей результат підняв загальну суму крадіжок цих груп до 6,75 мільярдів доларів з моменту їхніх перших задокументованих атак.

Зміна тактики: частіші атаки із монументальними сумами

Аналіз даних виявляє суттєву трансформацію у стратегіях корейських хакерів. Хоча загальна кількість інцидентів зросла, справжня зміна полягає у масштабі окремих подій. Злочинні групи зменшують частоту атак на приватних користувачів, але компенсують цю зміну руйнівними вторгненнями у централізовані інфраструктури більшого масштабу.

Корейські хакери відповідальні за 76% усіх порушень, спрямованих на платформи та сервіси на рівні підприємств у 2025 році — це найвищий показник за весь час. Така концентрація вогневої сили на об’єктах великого впливу радикально контрастує з моделлю, яку зазвичай використовують традиційні кіберзлочинці, які прагнуть розподілити свої зусилля між кількома менш цінними цілями. Атака на централізований сервіс Bybit, що спричинила втрати на 1,4 мільярда доларів, ілюструє цю ідею максимізації впливу кожної операції.

Штучний інтелект та регіональна інфраструктура: експоненційна ускладненість у відмиванні грошей

Процес приховування викрадених коштів корейськими хакерами отримав додатковий рівень технологічної складності. На відміну від інших злочинних груп, які переказують ресурси великими обсягами в on-chain трансакціях, учасники, пов’язані з КНДР, дроблять свої здобутки на ретельно зважені частки, рідко перевищуючи 500 тисяч доларів за окрему транзакцію — чіткий приклад складного операційного контролю.

Андрю Фірман, керівник відділу національної безпеки Chainalysis, повідомив CoinDesk, що штучний інтелект став ключовим вектором цієї трансформації. «Корейські хакери здійснюють відмивання своїх крадіжок у криптовалютах з такою послідовністю та плавністю, що однозначно вказує на використання ШІ», — зазначив експерт. Система очищення ресурсів працює через високорозвинений потік робіт: міксери криптовалют, мости між різними блокчейнами та протоколи DeFi функціонують у синергії з початкових етапів, послідовно конвертуючи кошти між різними активами.

Ця інженерія відмивання демонструє значну залежність від регіональних посередників. Гаманці корейських хакерів мають явний пріоритет у використанні бірж, сервісів гарантії та платформ обміну, а також широко застосовують мости та міксери. Важливо, що вони уникають традиційних децентралізованих протоколів DeFi та p2p-обмінів, що свідчить як про структурні обмеження, так і про концентрацію доступу у географічних та мовних рамках.

Точний графік: 45 днів на остаточне конвертування активів

Постфактумний форензічний аналіз Chainalysis виявив стабільні часові шаблони у процесах інтеграції коштів. Коли корейські хакери здійснюють великі крадіжки, типове вікно для конвертації та приховування ресурсів триває приблизно 45 днів, проходячи через послідовні фази, починаючи з негайної маскування та закінчуючи остаточною інтеграцією у диверсифіковані портфелі.

Хоча цей цикл не є абсолютно універсальним для всіх операцій, його повторюваність протягом кількох років дає цінну оперативну інформацію для органів контролю та відповідності. Ця часова передбачуваність створює критичне вікно для перехоплення викрадених коштів до їх остаточної інтеграції у циркуляцію — важлива інформація для команд безпеки, що працюють у стислі терміни.

Цільова атака на користувачів: зниження частоти, зменшення середніх сум

Паралельно з посиленням атак на платформи, корейські хакери демонструють менший інтерес до компрометації приватних гаманців. Порушення облікових записів окремих користувачів становили лише 20% від загальної викраденої суми у 2025 році, порівняно з 44% у попередньому році. Хоча абсолютна кількість інцидентів зросла до 158 тисяч подій, сума у доларах, викрадених на одну особу, знизилася на 52%, досягнувши в цілому 713 мільйонів доларів.

Ця дихотомія демонструє чіткий стратегічний розрахунок: корейські хакери розширюють охоплення переслідувань звичайних людей, але спрямовують свої найбільші ресурси на операції проти корпоративних систем, де віддача від зусиль виправдовує застосування високотехнологічних методів.

Перспективи на 2026: ескалація без ознак сповільнення

Зі завершенням 2025 року активність корейських хакерів не показує ознак зниження темпів. Поточна картина загроз стає дедалі більш поляризованою: з одного боку, масові крадіжки з низькою вартістю, викрадені у ізольованих осіб; з іншого — рідкісні, але катастрофічні інциденти, спрямовані на централізовані інфраструктури. Корейські хакери закріпили свою позицію саме у другому полі, зміцнюючи свою роль як критичного вектора загрози для глобальної екосистеми криптовалют.

Для команд відповідності та правоохоронних органів ці відкриття підкреслюють необхідність швидкого впровадження систем виявлення у реальному часі, моніторингу регіональної інфраструктури відмивання та міжнародної співпраці для переривання ланцюгів посередників, що підсилюють цю зростаючу злочинну діяльність.