Северокорейские хакеры: полное досье, описание методов и хронология краж криптовалют

Недавно Многосторонняя группа мониторинга санкций (MSMT) опубликовала отчет под названием «Нарушения и уклонение КНДР от санкций ООН через киберактивность и деятельность IT-специалистов». В отчете представлен систематический обзор того, как Корейская Народно-Демократическая Республика (КНДР) использует кибервозможности, IT-работников и операции с криптовалютами для обхода санкций ООН, хищения чувствительных технологий и получения финансовых средств. GetBlock AML Research публикует выдержку главных тезисов отчета, чтобы помочь читателям быстро понять эволюцию тактик и тенденций киберугроз со стороны КНДР, тем самым повышая уровень осведомленности и защиты от сложных киберрисков.

MSMT создана для мониторинга и отчетности по действиям, которые нарушают или обходят санкционные меры, установленные соответствующими резолюциями Совета Безопасности Организации Объединенных Наций (СБ ООН). В состав ее государств-участников входят Австралия, Канада, Франция, Германия, Италия, Япония, Нидерланды, Новая Зеландия, Южная Корея, Соединенное Королевство и Соединенные Штаты. Цель группы — содействовать полному исполнению санкций ООН в отношении Корейской Народно-Демократической Республики (КНДР), публикуя данные, основанные на тщательных расследованиях нарушений санкций и попыток уклонения.

Согласно отчету, в период 2024–2025 годов КНДР систематически и на государственном уровне нарушала несколько резолюций Совета Безопасности ООН. Это проявляется в масштабных кибератаках, кражах криптовалют и трансграничном отмывании денег, а также в глобальном развертывании IT-работников для обхода санкций и финансирования программ разработки оружия массового поражения и баллистических ракет.

Кибервозможности КНДР все больше приближаются к уровню киберсверхдержав: только в 2024 году было похищено не менее $1,19 млрд в криптовалютах, а за первые девять месяцев 2025 года — еще $1,65 млрд. В отдельных случаях украденные средства были отмыты через криптосервисы, зарегистрированные в нескольких странах, а также через многочисленных OTC-трейдеров. В отчете также подтверждается, что КНДР направила IT-работников как минимум в восемь стран, опираясь на зарубежных посредников и финансовые учреждения для управления средствами и сокрытия личностей, параллельно непрерывно добывая чувствительные технологии с помощью вредоносного ПО, атак цепочки поставок и социальной инженерии.

В целом почти вся такая деятельность контролируется государственными структурами, уже находящимися под санкциями ООН, и проводится через зарубежные подставные компании и развернутых за рубежом IT-работников, а глобальная сеть обхода санкций стабильно расширяется.

Киберпрограмма КНДР

Согласно отчету MSMT, в последние годы возможности КНДР в киберсфере значительно улучшились — в плане организационной структуры, технических навыков и трансграничной активности. Их зрелость сопоставима с уровнем кибердержав. Значительную часть операций выполняют различные группы APT, осуществляющие дистанционные вторжения, нарушения работы систем, сбор разведданных и операции по генерации дохода.

Масштабы этих групп растут: появляются новые исследовательские центры, контактные офисы и операционные подразделения, что демонстрирует систематическое расширение кибераппарата КНДР. Хотя техническая квалификация и задачи разных подразделений различаются, сотрудничество между кибератаками и зарубежными IT-работниками становится все теснее, с явными пересечениями в разработке инструментов, обмене технологиями и схемах финансирования.

Отчет описывает основную организационную структуру кибервозможностей КНДР, которая может быть суммирована в следующей схеме:

Организационная структура северокорейских киберпреступников

В целом кибероперации КНДР функционируют через многоуровневую структуру внутри страны и за ее пределами, что обеспечивает координированное выполнение разнообразной деятельности — от вредоносных операций и IT-аутсорсинга для получения дохода до трансграничного отмывания денег.

Кража криптовалют

С 2017 года, на фоне экономического давления и усиливающихся международных санкций, киберпреступники из КНДР начали использовать кражу криптовалют как источник дохода. В тот период криптоиндустрия быстро развивалась, но была недостаточно регулируемой и защищенной, что делало ее приоритетной целью. Согласно анализу стран-участников MSMT, а также компаний Mandiant и Chainalysis, в 2024 году КНДР похитила не менее $1,19 млрд — увеличение на 50% по сравнению с предыдущим годом. За период с января по сентябрь 2025 года сумма уже достигла $1,645 млрд, что доводит общий объем с января 2024 года по сентябрь 2025 года до не менее чем $2,8 млрд.

Объем украденных средств северокорейскими хакерами с 2024 года

Крупнейшие инциденты включают взлом хакерской группой TraderTraitor криптобиржи Bybit (Дубай) в феврале 2025 года, что привело к краже почти $1,5 млрд — крупнейшей краже криптоактивов в истории. Серьезно пострадали также японская биржа DMM Bitcoin и индийская WazirX, некоторые из которых были вынуждены временно прекратить работу. По оценкам стран-участников MSMT, доходы от криптокраж в 2024 году составили примерно треть общего валютного дохода КНДР. В отчете перечислены следующие инциденты, связанные с КНДР:

Хронология краж криптовалют в 2024 году

Хронология краж криптовалют в 2025 году

Эти случаи демонстрируют, что кибератаки КНДР преследуют не только финансовые цели, но и расширяют свое воздействие через атаки цепочек поставок и взломы сторонних сервисов, вызывая утечку активов и нарушение деятельности организаций.

Участвующие группы и структуры

Согласно отчету, в кражах криптовалют участвовали несколько групп APT КНДР и IT-работники, в том числе:

TraderTraitor (также Jade Sleet, UNC4899)

Наиболее технически продвинутая группа КНДР, применяющая социальную инженерию и атаки цепочек поставок для массовых хищений. С января 2024 по сентябрь 2025 года они похитили около $2,58 млрд в криптовалютах. Ключевые инциденты включают взломы DMM Bitcoin, WazirX и Bybit. Их атаки часто используют компрометацию сторонних кастодиальных сервисов для получения учетных данных бирж — позволяя обходить MFA и лимиты транзакций.

CryptoCore (также Sapphire Sleet, Alluring Pisces)

Работает аналогично TraderTraitor. С января 2024 по май 2025 года похитила не менее $33,5 млн. Их цели — сотрудники криптокомпаний в более чем десяти странах. Часто используют spear-phishing, выдавая себя за рекрутеров, предлагающих вакансии, а также вредоносные пакеты NPM, встроенные в «тестовые задания».

Известные email-адреса и домены группировки CryptoCore

Citrine Sleet (также AppleJeus, Gleaming Pisces)

Активна в распространении вредоносного ПО, эксплуатации уязвимостей и социальной инженерии. Особую известность получила в начале 2020-х годов с кампаниями AppleJeus. Заметный инцидент 2024 года — кража $50 млн у Radiant Capital.

IT-работники КНДР

По имеющимся данным, они также участвовали в кражах криптовалют, включая инциденты Munchables ($62,5 млн, позднее возвращены), OnyxDAO (3,8 млн), Exclusible Penthouse (827 000 долларов) и BTCTurk в 2024 году.

Методы и тактики атак

Группы APT и IT-работники КНДР используют высокоорганизованные и разнообразные методы:

Социальная инженерия и spear-phishing

Одним из типичных примеров является кампания Contagious Interview, впервые обнаруженная Palo Alto Networks в 2023 году. Атакующие выдавали себя за работодателей, приглашали на интервью и заставляли устанавливать пакет ПО, который разворачивал вредоносные программы BeaverTail и InvisibleFerret.

В 2025 году кампания эволюционировала в ClickFake Interview, расширившую цели на нетехнические роли. Жертвы перенаправлялись на фальшивые сайты «интервью», где их убеждали запускать команды или ПО, содержащие вредоносный код.

Шантаж и продажа украденных данных

С января 2024 по май 2025 года группы Moonstone Sleet и Andariel проводили вымогательские атаки, включая применение ransomware, продажу украденных данных и доступов на даркнет-рынках.

Сотрудничество с зарубежными киберпреступниками

По открытым данным, КНДР сотрудничает с иностранными преступными группировками, включая использование ransomware Qilin.

Использование ИИ-инструментов

Группировки КНДР применяют генеративные модели (LLM) для повышения качества фишинга, создания малвари и автоматизации атак.

Операции КНДР по отмыванию криптовалют

Кража крипты — лишь первый этап. Затем нужно отмыть средства, скрыв происхождение, прежде чем обналичить их через сеть OTC-брокеров в третьих странах. Типичные инструменты — миксеры, мосты, DEX-биржи, агрегаторы и P2P-платформы.

Типовой процесс отмывания:

• Swap: конвертация украденных токенов в ETH, BTC, DAI или USDT.
• Mix: использование Wasabi Wallet, Tornado Cash, JoinMarket, Railgun.
• Bridge: перенос средств через мосты и P2P-трейдеров.
• Store: хранение BTC в «некастодиальных» кошельках.
• Mix Again: повторное смешивание.
• Bridge: перевод BTC → TRX.
• Swap: обмен TRX → USDT.
• Convert: перевод USDT к OTC-брокерам.
• Remit: получение фиата.

Конвертация в наличные

Для обналичивания используются зарубежные партнеры, OTC-брокеры и сеть посредников.

Связи с зарубежной финансовой системой

По данным стран-участников MSMT, Первый кредитный банк КНДР использовал американскую финкомпанию для конвертации средств из USD в юани, а также держит резервы в десятках криптокошельков.

Зарубежные сети посредников

КНДР нередко использует сторонних отмывателей, включая платформы вроде Huione Pay.

Криптовалюта как средство расчетов

С 2023 года КНДР расширяет использование USDT для закупок оборудования и материалов.

IT-работники КНДР: общий обзор и стратегическая роль

Согласно отчету, IT-работники — самая высокооплачиваемая рабочая сила КНДР. Они обязаны отчислять значительную часть дохода государственным и аффилированным структурам. В 2024 году общий доход от их деятельности оценивался в $350–800 млн.

Каждая команда возглавляется менеджером, устанавливающим план в минимум 10 000 долларов в месяц на одного работника. Средняя зарплата зарубежных IT-работников КНДР — около 10 000 долларов в месяц.

Целевые отрасли и география

Основные цели: AI, блокчейн, веб-разработка, оборонная промышленность, госструктуры, НИИ.

География (2024–2025):

• Китай: 1000–1500
• КНДР: 450–1200
• Россия: 150–300
• Лаос: 20–40
• Экваториальная Гвинея: 5–15
• Гвинея: 5–10
• Нигерия: <10
• Танзания: <10
• Камбоджа: неизвестно

Тактики, техники и процедуры

Фаза 1: Создание личности

• поддельные или украденные документы,
• ИИ-генерация лиц,
• виртуальные номера,
• подделка KYC,
• VPN,
• контроль аккаунтов через удаленный доступ.

ИИ-генерация лиц

Фаза 2: Поиск работы

• прямые отклики в компании,
• фриланс-платформы,
• общение через LinkedIn, Discord.

Фаза 3: Получение средств

• PayPal, Payoneer, Wise,
• криптовалюта с последующим отмыванием,
• покупка PYUSD через посредников,
• регистрация компаний в США.

Зловредная киберактивность КНДР

Атаки на инфраструктуру Южной Кореи

Группы Temp.Hermit и Kimsuky использовали уязвимости ПО и атаки на цепочки поставок для получения доступа и кражи данных, включая атакующие кампании через сайты отраслевых организаций.

Цели в оборонной промышленности

Группы TraderTraitor и Andariel похищали чертежи вооружения, данные R&D и материалы о беспилотниках DJI.

Заключение

Согласно отчету MSMT, угрозы со стороны КНДР стали системными: атаки теперь включают в себя комплексную интеграцию заражения цепочек поставок, внедрение IT-работников, кражи фондов и трансграничное отмывание. Риски связаны не только с техническими уязвимостями, но и с уязвимостями в процессах, персонале и инфраструктуре.