Північнокорейські хакери за десять років вкрали криптоактивів більш ніж на $6,7 млрд. Експерти CertiK заявили, що головною зброєю зловмисників стали не баги в коді, а соціальна інженерія та атаки на людей.
Експерти CertiK Skynet опублікували масштабний звіт про діяльність північнокорейських хакерських груп, пов’язаних із криптовалютними зломами. За оцінками аналітиків, із 2016 року до початку 2026 року структури, пов’язані з КНДР, здійснили 263 задокументовані атаки та викрали цифрові активи на суму понад $6,75 млрд.
У звіті наголошується, що північнокорейські кібероперації стають дедалі складнішими та ефективнішими. Попри те що загальна кількість атак зменшується, масштаби збитків продовжують зростати.
Так, у 2025 році із 656 зафіксованих криптоінцидентів лише 79 були пов’язані з КНДР. Водночас саме вони забезпечили понад $2,06 млрд збитків, що становить близько 60% усіх втрат крипторинку за рік.
Від початку 2026 року експерти вже зафіксували 185 атак із загальними втратами на $1,1 млрд. На операції північнокорейських груп припало приблизно $620,9 млн, або понад половина всіх збитків. Значну частину цієї суми пов’язують зі зломом KelpDAO.
Головна ціль — люди, а не код
Аналітики CertiK дійшли висновку, що основним інструментом хакерів із КНДР є соціальна інженерія. На відміну від класичних атак через уразливості смартконтрактів, північнокорейські групи роблять ставку на обман співробітників, розробників і керівників криптокомпаній.
У звіті окремо проаналізували зломи Ronin Bridge, Bybit і Drift Protocol, сукупні втрати за якими перевищили $2,4 млрд. У всіх випадках ключову роль відігравали фішингові кампанії, підроблені співбесіди, заражені файли та компрометація ланцюгів постачання.
Експерти зазначають, що хакери можуть місяцями будувати довірливі стосунки з жертвами через Telegram, LinkedIn або фейкові вакансії. У деяких випадках оператори проводили повноцінні технічні співбесіди з розробниками, перш ніж надсилати заражений код або шкідливі репозиторії.
У CertiK наголосили, що КНДР перетворила кіберзлочинність на системне джерело доходів в умовах міжнародних санкцій та фінансової ізоляції країни.
Lazarus Group і мережа кіберпідрозділів
Згідно зі звітом, Lazarus Group є лише частиною великої кіберструктури, яка працює під контролем Головного розвідувального бюро КНДР. До різних підрозділів можуть входити близько 7000 осіб.
Серед ключових груп експерти виділили:
- SquidSquad (APT38, CryptoCore) — спеціалізується на атаках через фейкових інвесторів та венчурні компанії;
- TraderTraitor — відповідає за великі зломи бірж та інфраструктури;
- Contagious Interview — атакує розробників через підроблені співбесіди;
- AppleJeus — використовує заражені застосунки та трояни;
- DPRK IT Workers — мережа ІТ-фахівців, які працюють під прикриттям у міжнародних компаніях.
У звіті підкреслюється, що кібероперації КНДР працюють як “фабрика шкідливого ПЗ” із жорсткою дисципліною та багаторівневою структурою.
Хакери активно використовують ШІ та нові схеми відмивання
CertiK також повідомила про зростання використання штучного інтелекту в атаках північнокорейських груп. Йдеться про автоматизацію фішингових кампаній, створення переконливих фейкових профілів та масштабування соціальної інженерії.
Окрему увагу експерти приділили інфраструктурі відмивання коштів. За їхніми словами, КНДР використовує міксери, кросчейн-протоколи, OTC-брокерів та децентралізовані біржі для приховування походження викрадених активів.
Аналітики рекомендують криптокомпаніям посилювати перевірку співробітників, впроваджувати модель «нульової довіри», використовувати апаратні модулі безпеки та вводити додаткові механізми контролю виведення коштів.
У CertiK вважають, що загроза з боку КНДР лише посилюватиметься, оскільки країна продовжує використовувати криптовалютні крадіжки як одне з ключових джерел фінансування.
