КНДР превратила криптокражи в промышленный бизнес и заработала 2 миллиарда за 2025 год

Северокорейские хакерские группы в 2025 году резко нарастили кражи криптовалюты. По оценкам аналитиков, ущерб превысил 2 млрд долларов, что на 51% больше показателя прошлого года. Главная причина роста кроется не в простом увеличении числа атак, а в более сложных методах через социальную инженерию, внедрение инсайдеров, охоту на разработчиков и использование готовых ИИ-инструментов.

Для крипторынка это уже не набор отдельных громких взломов, а устойчивый источник финансирования КНДР. Международные наблюдатели ранее связывали похищенные криптоактивы с обходом санкций и финансированием государственных программ Северной Кореи.

Интересно, что прогнозный рынок оценивает вероятность превышения 1,2 млрд долларов в криптохаках в 2026 году примерно в 70%, и это голосование рублём за продолжение атак.

В новом обзоре «Общая стоимость криптохаков в 2026 году» участники прогнозного рынка оценивают вероятность превышения порога 1,2 млрд долларов примерно в 70%. Рынок уже закладывает высокий риск продолжения крупных атак.

Рост на 51% в 2025 году показывает результативность действий северокорейских групп. Они атакуют не только технологические уязвимости протоколов, но и людей через несколько каналов:

• разработчиков криптокомпаний и Web3-проектов;
• сотрудников бирж и обменников;
• подрядчиков с доступом к инфраструктуре;
• участников DeFi-команд с правами на контракты;
• администраторов с доступом к кошелькам.

Социальная инженерия стала одним из главных механизмов краж. Хакеры выдают себя за рекрутеров, инвесторов, коллег, представителей бирж или партнёров проекта. Жертве присылают тестовое задание, репозиторий, документ или фрагмент кода. После запуска файла атакующие получают доступ к устройству, кошелькам и внутренним системам.

Отдельное направление связано с инсайдерами и подставными удалёнными сотрудниками. Северокорейские специалисты могут устраиваться в западные ИТ-компании под чужими личностями, проходить обычные этапы найма и получать доступ к рабочим системам.

Ранее сообщалось о доходах северокорейских ИТ-специалистов в западных компаниях до 500 млн долларов в год при работе под видом удалённых сотрудников. Схема приносит Пхеньяну крупные доходы и одновременно создаёт риск доступа к внутренним системам компаний.

В 2025 году северокорейские хакеры активнее применяли готовые ИИ-инструменты. Ранее сообщалось о краже группой КНДР до 12 млн долларов с применением OpenAI, Cursor и Anima вместо собственной сложной разработки. По данным Expel, кампания HexagonalRodent затронула более 2000 компьютеров, а основной целью стали разработчики криптовалют, NFT и Web3.

Пример показывает новый уровень угрозы. ИИ не обязательно создаёт уникальный вредоносный код с нуля. Подобные инструменты помогают хакерам в целом наборе задач:

• быстрое написание скриптов и автоматизаций;
• улучшение фишинговых сообщений под аудиторию;
• разбор ошибок в чужом коде;
• адаптация вредоносных компонентов;
• ускорение рутинных этапов атаки.

Криптоиндустрия остаётся для КНДР привлекательной. Транзакции могут проходить через цепочки кошельков, миксеры, мосты, децентрализованные биржи и разные блокчейны. Скорость вывода денег после атаки может быть высокой.

Крупные DeFi-проекты находятся в зоне особого риска. Они работают с межсетевыми мостами, смарт-контрактами, оракулами, пулами ликвидности и интеграциями с другими протоколами. Сложность архитектуры создаёт много мест с риском огромного ущерба.

Ранее северокорейских хакеров обвинили в краже почти 300 млн долларов из DeFi-проекта KelpDAO. Инцидент с выводом около 293 млн долларов предварительно связали с группировкой Lazarus. Атака произошла 18 апреля при обнаружении командой подозрительной межсетевой активности вокруг токена rsETH.

Интересно, что северокорейские группы перестали тратить ресурсы на собственный вредоносный код и спокойно используют OpenAI, Cursor и Anima для своих атак.

Прогнозный рынок с вероятностью около 70% на превышение 1,2 млрд долларов в 2026 году отражает ожидание новых крупных инцидентов. Геополитическая напряжённость и санкции только усиливают мотивацию КНДР.

Для бирж и криптопроектов это означает необходимость пересмотра не только смарт-контрактов, но и всего контура работы с людьми. Особенно уязвимы быстрорастущие команды с удалёнными сотрудниками по всему миру и большим числом внешних инструментов.

Для инвесторов и пользователей криптосервисов главный риск кроется в возможной слабости даже известных проектов в операционной защите. Красивый аудит смарт-контракта не гарантирует хорошую защиту рабочих станций и закрытие секретов команды.

Chainalysis, CertiK и другие компании по анализу блокчейна остаются важными источниками данных о масштабах атак. Их отчёты обычно фиксируют уже произошедшие события, а защитным командам нужно работать на опережение.

Для зрелых криптокоманд критичными становятся несколько направлений защиты:

• многоуровневая проверка сотрудников и кандидатов;
• аппаратное хранение ключей и мультиподписи;
• разделение прав между разработкой и казначейством;
• изоляция рабочих устройств и CI/CD-среды;
• мониторинг аномальных транзакций и лимиты на вывод;
• регулярные учения по остановке контрактов.

Для государств и регуляторов рост северокорейских криптокраж тоже становится проблемой. Деньги уходят структурам с обходом санкций. Подобное давление усиливает требования к биржам, провайдерам кошельков, мостам и DeFi-платформам.

Полностью остановить подобные атаки одними санкциями трудно. Хакеры адаптируются, меняют кошельки, используют цепочки посредников, тестируют новые блокчейны и ищут слабые места в менее зрелых проектах. Безопасность криптоиндустрии всё больше зависит от скорости технической реакции и качества операционной дисциплины внутри команд.

Эксперты редакции CISOCLUB отмечают, что рост ущерба от северокорейских криптохаков до 2 млрд долларов показывает превращение краж цифровых активов в промышленное направление киберпреступности. По мнению редакции, русло атак смещается от одиночных взломов к сочетанию социальной инженерии, инсайдерских схем, ИИ-инструментов, атак на разработчиков и эксплуатации сложной DeFi-инфраструктуры. Для крипторынка главный урок прост. Защищать нужно не только смарт-контракт, но и людей, устройства, доступы, процессы найма и весь путь от кода до подписи транзакции. Без операционной дисциплины ни один аудит не спасёт проект от грамотно подготовленной атаки группы Lazarus или подобных команд.