У період з 2016 року до початку 2026 року хакери, пов’язані з Північною Кореєю, здійснили 263 задокументовані атаки та викрали цифрових активів на суму $6,75 млрд. Експерти CertiK Skynet у своєму звіті детально проаналізували методи діяльності цих кіберзлочинців, зокрема їхню еволюцію — від технічних атак на програмний код до складної соціальної інженерії та цілеспрямованих операцій.
Про це розповідає Finway
Зростання збитків та особливості атак
Згідно з даними, хоча з роками кількість інцидентів за участі північнокорейських хакерів зменшується, сума збитків суттєво зростає. У 2025 році з 656 атак у криптосфері лише 79 були пов’язані з КНДР, але на них припадало $2,06 млрд, тобто 60% від загальних втрат у $3,4 млрд. Вже на початку 2026 року із загальних втрат у $1,1 млрд на діяльність КНДР припадає $620,9 млн, а майже половину цієї суми було викрадено під час атаки на проєкт KelpDAO.
«Траєкторія очевидна: щораз масштабніші операції, промисловий конвеєр відмивання грошей і величезний “довгий хвіст” дрібних крадіжок, які в сукупності зіставні за загальною вартістю з найбільшими зломами. Суб’єкти КНДР незмінно атакували людей і слабкі місця в ланцюгах постачання, а не вразливості в коді смартконтрактів. Протягом майже десяти років операцій їхнім основним вектором атак рідко був код. Майже завжди — люди».
Фахівці CertiK детально дослідили три масштабні зломи: моста Ronin, біржі Bybit та платформи Drift Protocol, сумарні втрати від яких сягнули $2,4 млрд. Основна особливість — використання соціальної інженерії як головного інструмента для компрометації систем.
Влада КНДР використовує викрадену криптовалюту для фінансування військових програм, що зумовлено жорсткими міжнародними санкціями та обмеженням доступу до світових фінансових ринків.
Організація та підгрупи хакерської мережі КНДР
За даними звіту, Lazarus Group є основною парасольковою організацією, до складу якої входить приблизно 7000 спеціалістів. Їхня діяльність координується через Головне розвідувальне бюро та поділяється на декілька підгруп з вузькою спеціалізацією:
- SquidSquad (Sapphire Sleet, DangerousPassword, CryptoCore, APT38) — імітація венчурних фондів та інвесторів для атак через особисті контакти.
- TraderTraitor (Jade Sleet, Slow Pisces, UNC4899) — компрометація бірж і блокчейн-компаній через фіктивні вакансії та технічні завдання.
- Contagious Interview (Famous Chollima) — атаки на розробників за допомогою фальшивих співбесід і шкідливих репозиторіїв.
- AppleJeus (Citrine Sleet, Gleaming Pisces, UNC4736) — поширення вірусів-троянів у фейкових застосунках.
- DPRK IT Workers (Jasper Sleet) — легальна робота на західних ринках із передачею даних та фінансуванням програм КНДР.
Мережа відзначається високою дисципліною, багаторівневою підготовкою до атак, витонченістю підходів та постійною еволюцією використовуваних технік. Значну увагу приділяють збору інформації, розбудові довіри з майбутніми жертвами і впровадженню складних багатофазових схем компрометації.
Звіт наголошує, що майже у всіх великих інцидентах основним вектором атак були не технічні вразливості, а людський фактор — співробітники компаній, які піддавалися фішингу та маніпуляціям.
Еволюція методів та рекомендації з протидії
Північнокорейські хакери використовують широкий спектр інструментів — від шкідливого ПЗ та підроблених месенджерів до справжніх профілів у Telegram і складних соціотехнічних схем. Останні роки відзначаються появою нових способів відмивання коштів, використанням кросчейн-протоколів, децентралізованих бірж та OTC-брокерів, а також залученням ШІ для розширення масштабів атак.
«Хоча існують більш нестандартні методи виявлення ІТ-працівників КНДР — наприклад, прохання висловитися критично про главу держави Кім Чен Ина, — запобігання атакам такого роду потребує комплексного підходу. КНДР, безсумнівно, має одних із найвправніших зломників у світі, і якщо в системі є слабке місце, вони зроблять усе можливе, щоб ним скористатися».
Серед основних рекомендацій фахівців — жорстка верифікація особистості, нульова довіра при наймі, захист інфраструктури, впровадження апаратних модулів безпеки (HSM), затримки на виведення коштів та автоматичні запобіжники.
Загалом, використання КНДР крадіжок криптовалют і цифрових активів як одного з головних джерел поповнення бюджету залишається однією з найбільших кіберзагроз для глобальної криптоекосистеми.