Корейские хакеры совершили кражу криптовалют на сумму 2 миллиарда долларов в 2025 году, сообщает Chainalysis

Группировки преступников, связанных с КНДР, усилили свои операции на рынке криптовалют в 2025 году, установив новый разрушительный рекорд. Согласно последнему отчету Chainalysis, корейские хакеры смогли вывести как минимум 2 миллиарда долларов в цифровых активах за год, что на впечатляющие 51% больше по сравнению с украденными суммами в 2024 году. Этот результат поднял общий объем краж с начала документированных атак этих групп до 6,75 миллиарда долларов.

Смена тактики: более частые атаки с монументальными суммами

Анализ данных показывает значительные изменения в стратегиях корейских группировок. Хотя общее число инцидентов выросло, настоящие перемены связаны с масштабами отдельных событий. Преступные группы сокращают частоту атак на личных пользователей, но компенсируют это разрушительными налетами на централизованные инфраструктуры большего масштаба.

Корейские хакеры отвечали за 76% всех нарушений, направленных на платформы и сервисы корпоративного уровня в 2025 году — самый высокий показатель зафиксированный когда-либо. Эта концентрация огневой мощи на крупные цели резко контрастирует с моделью обычных киберпреступников, которые предпочитают распространять свои усилия на множество целей меньшей стоимости. Атака на централизованный сервис Bybit, приведшая к потерям в 1,4 миллиарда долларов, точно иллюстрирует эту стратегию максимизации воздействия каждой операции.

ИИ и региональная инфраструктура: экспоненциальная сложность в отмывании денег

Процесс сокрытия украденных средств корейскими группировками получил дополнительный уровень технологической сложности. В отличие от других преступных групп, которые переводят ресурсы крупными транзакциями on-chain, участники, связанные с КНДР, дробят свои добычи на тщательно рассчитанные части, редко превышающие 500 тысяч долларов за транзакцию — явное свидетельство сложного операционного контроля.

Андрю Фирман, руководитель отдела национальной безопасности Chainalysis, сообщил CoinDesk, что искусственный интеллект стал ключевым в этой трансформации. «Корейские хакеры осуществляют отмывку своих краж в криптовалютах с такой последовательностью и плавностью, что это однозначно указывает на использование ИИ», — заявил специалист. Система очистки ресурсов работает через высоко скоординированный рабочий поток: миксеры криптовалют, мосты между различными блокчейнами и протоколы DeFi функционируют в синергии с ранних этапов, методично конвертируя средства между различными активами.

Эта схема отмывки показывает заметную зависимость от региональных посредников. Кошельки корейских группировок явно предпочитают биржи, гарантийные сервисы и внебиржевые сети, управляемые на китайском языке, а также широко используют мосты и платформы для смешивания. Значительно, что они избегают традиционных децентрализованных протоколов DeFi и p2p-обменов, что указывает как на структурные ограничения, так и на концентрацию доступа у определенных географических и языковых посредников.

Точный график: 45 дней на окончательную конвертацию активов

Форензическая аналитика после атаки, проведенная Chainalysis, выявила заметные временные закономерности в операциях по интеграции средств. Когда корейские хакеры совершают крупные кражи, типичный промежуток времени для конвертации и сокрытия ресурсов составляет примерно 45 дней, проходя через последовательные этапы, начиная с немедленной маскировки и заканчивая окончательной интеграцией в диверсифицированные портфели.

Хотя этот цикл не является абсолютно универсальным для всех операций, его повторяемость на протяжении нескольких лет дает ценную оперативную информацию для правоохранительных органов и служб соблюдения нормативов. Эта временная предсказуемость создает критическое окно для перехвата украденных средств до их окончательной циркуляции — важная информация для команд безопасности, работающих против времени.

Целевая атака на пользователей: снижение частоты, уменьшение средних сумм

Параллельно с усилением атак на платформы, корейские хакеры проявляют меньший интерес к компрометации личных кошельков. Взломы индивидуальных аккаунтов составили всего 20% от общего украденного в 2025 году, по сравнению с 44% в предыдущем году. Несмотря на рост общего числа инцидентов до 158 тысяч событий, сумма в долларах, украденная у каждого отдельного жертвы, снизилась на 52%, достигнув в совокупности 713 миллионов долларов.

Этот разрыв показывает четкий стратегический расчет: корейские группировки расширяют охват преследования обычных людей, но направляют свои крупные ресурсы на операции против корпоративных систем, где отдача от усилий оправдывает технологическую сложность.

Перспективы на 2026: рост без признаков замедления

По мере завершения 2025 года активность атак корейских группировок не показывала признаков снижения темпа. Текущая картина угроз свидетельствует о растущей поляризации: с одной стороны, массовые кражи с низкой ценностью, украденные у отдельных лиц; с другой — редкие, но катастрофические инциденты, направленные на централизованные инфраструктуры. Корейские хакеры укрепили свои позиции именно в этом втором сегменте, закрепляя роль критического вектора угрозы для глобальной экосистемы криптовалют.

Для команд по соблюдению нормативов и правоохранительных органов эти открытия подчеркивают необходимость внедрения систем обнаружения в реальном времени, мониторинга региональной отмывочной инфраструктуры и трансграничного сотрудничества для прерывания цепочек посредников, питающих все более сложные преступные операции.