Il 7 agosto 2025, il Dipartimento di Giustizia degli Stati Uniti ha condannato Roman Storm, co-fondatore di Tornado Cash, per aver gestito un'attività di trasferimento di denaro senza licenza. Il caso, visto come un giro di vite sulle infrastrutture di mixaggio di criptovalute, colpisce direttamente le reti di riciclaggio dei gruppi di hacker.
Settimane dopo, il 26 agosto, l'FBI ha confermato che il gruppo Lazarus era dietro l'attacco hacker da 1,5 miliardi di dollari a Bybit, il furto più significativo nella storia delle criptovalute.
Gli attacchi hacker nordcoreani si estendono ai mercati globali
Perché è importante
La violazione di Bybit e il verdetto sul caso Tornado Cash evidenziano come la criminalità informatica e la regolamentazione si scontrino. Per investitori ed exchange, non si tratta solo di beni rubati, ma anche di crescenti costi di conformità, di una supervisione più rigorosa e della percezione che le criptovalute siano passate dall'essere un rischio finanziario a una questione di sicurezza nazionale.
Ultimo aggiornamento
La conferma da parte dell'FBI del furto di Bybit e la condanna del co-fondatore di Tornado Cash da parte del Dipartimento di Giustizia segnano una svolta. Le autorità ora perseguono sia gli hacker sia l'infrastruttura che ricicla i loro proventi. Inoltre, le autorità di regolamentazione segnalano che l'applicazione della legge verrà estesa a responsabili e complici di tutto il settore.
Contesto di sfondo
Dal 2017, il Lazarus Group, un gruppo di hacker sconosciuto presumibilmente guidato dal governo nordcoreano, ha preso di mira banche e exchange di criptovalute per generare denaro. La narrazione della sua origine deriva dal fatto che, a causa delle sanzioni internazionali che limitavano il commercio, Pyongyang si era rivolta ai furti informatici. Entro il 2025, il ritmo ha accelerato, con attacchi che hanno interessato Asia, Stati Uniti ed Europa. Allo stesso tempo, le forze dell'ordine globali hanno faticato a tenere il passo con la velocità degli attacchi.
Un anno di escalation
Analisi più approfondita
L'ondata è iniziata a maggio, quando l'exchange taiwanese BitoPro ha perso circa 11,5 milioni di dollari. A giugno, il Dipartimento di Giustizia ha avviato un'azione di confisca per sequestrare 7,74 milioni di dollari collegati a programmi di riciclaggio. Più tardi, nello stesso mese, quattro cittadini nordcoreani sono stati incriminati in Georgia per essersi infiltrati in aziende statunitensi come appaltatori IT, rubando quasi 900.000 dollari. Nel frattempo, gli investigatori hanno notato che si trattava di un fenomeno più ampio, piuttosto che di casi isolati.
Un rapporto di TRM Labs stima che la Corea del Nord abbia rubato 1,6 miliardi di dollari nella prima metà del 2025, rappresentando circa il 70% dei crimini crypto globali. A giugno, la Financial Action Task Force ha avvertito che la Corea del Nord rappresentava la più grave minaccia statale all'integrità dei mercati crypto. Oltre a ciò, le autorità di regolamentazione di tutto il mondo hanno iniziato a rivedere i quadri normativi in modo più aggressivo.
"Con oltre 2,17 miliardi di dollari rubati dai servizi di criptovaluta finora nel 2025, quest'anno è più devastante dell'intero 2024. L'attacco hacker da 1,5 miliardi di dollari ai danni di Bybit da parte della RPDC, il più grande attacco hacker singolo nella storia delle criptovalute, è responsabile della maggior parte delle perdite di servizi." — Chainalysis
Tattiche nascoste svelate
Dietro le quinte
Un'inchiesta di Wired ha rivelato oltre 1.000 account di posta elettronica collegati a dipendenti IT nordcoreani impiegati da remoto presso aziende occidentali. Gli stipendi venivano trasferiti in wallet di criptovalute, per poi essere riciclati tramite mixer e scambi cross-chain. Questa "doppia strategia" – flussi costanti di entrate da posti di lavoro nel settore IT e guadagni inaspettati derivanti da attacchi informatici agli exchange – fornisce a Pyongyang flussi di finanziamento durevoli. Inoltre, gli esperti hanno osservato che questa combinazione consente al regime di bilanciare entrate affidabili con occasionali guadagni inaspettati di miliardi di dollari.
Anche gli agenti nordcoreani hanno potenziato il loro toolkit. Come riportato da BeInCrypto, ora combinano tecniche avanzate di ingegneria sociale con exploit zero-day. Di conseguenza, i loro tassi di successo aumentano anche su piattaforme un tempo considerate sicure.
Impatto più ampio
Questi incidenti hanno minato la fiducia nel settore. Le borse europee segnalano costi di conformità più elevati, mentre la Corea del Sud ha ampliato le analisi forensi sulla blockchain. L'avvertimento del GAFI ha spinto diversi governi a inasprire i quadri normativi in materia di licenze. Di conseguenza, la supervisione si è spostata da una prospettiva finanziaria a una di sicurezza, un cambiamento che ha un impatto diretto sia sugli investitori che sulle piattaforme.
Rischi di diversione militare e reazioni politiche
Fatti essenziali
• La Corea del Nord ha rubato 1,6 miliardi di dollari nella prima metà del 2025 (TRM Labs).
• Il solo attacco informatico a Bybit è costato 1,5 miliardi di dollari (FBI).
• BitoPro ha perso 11,5 milioni di dollari (Yahoo cita BitoPro).
• Il Dipartimento di Giustizia ha avviato un'azione di confisca da 7,74 milioni di dollari (DOJ).
• Quattro cittadini incriminati per furti da 900.000 dollari (DOJ).
• Gli osservatori delle Nazioni Unite hanno riferito che i proventi derivanti dalla cyber-criminalità finanziano programmi di armamento.
In attesa
Le autorità avvertono che Pyongyang sta testando la finanza decentralizzata e le privacy coin. Di conseguenza, gli analisti si aspettano nuove sanzioni su mixer, wallet di custodia e pool di liquidità. Senza coordinamento, le lacune nell'applicazione delle norme si amplieranno, lasciando gli investitori esposti.
Analisi dei dati
| Data | Evento | Quantità | Fonte |
|---|---|---|---|
| 9 maggio 2025 | Hack di BitoPro (Taiwan) | 11,5 milioni di dollari | Yahoo News |
| 5 giugno 2025 | Azione di confisca del Dipartimento di Giustizia | 7,74 milioni di dollari | Dipartimento di Giustizia |
| 30 giugno 2025 | Incriminazione del Dipartimento di Giustizia (4 cittadini) | 0,9 milioni di dollari | Dipartimento di Giustizia |
| Giugno 2025 | Avvertimento GAFI | N / A | ICBA |
| Maggio 2025 | Smascherato lo schema dei lavoratori IT | N / A | Cablato |
| 7 agosto 2025 | Verdetto Tornado Cash | N / A | Dipartimento di Giustizia |
| 26 agosto 2025 | Hack di Bybit | 1,5 miliardi di dollari | FBI |
| Primo semestre 2025 | Totale dei furti globali | 2,17 miliardi di dollari | Analisi delle catene |
Dalle rapine del passato al dominio odierno
Tra il 2017 e il 2022, i panel delle Nazioni Unite hanno stimato che Pyongyang, incluso il Gruppo Lazarus, abbia generato circa 2 miliardi di dollari attraverso furti informatici. Entro il 2024, la Corea del Nord rappresentava quasi un terzo dei crimini informatici globali. Entro il 2025, il suo predominio si è ampliato drasticamente, trainando la maggior parte delle rapine più importanti. Inoltre, il passaggio da attacchi informatici opportunistici a campagne sistematiche dimostra la crescente sofisticazione del regime.
Possibili rischi
Le sanzioni potrebbero inasprirsi, ma le transazioni peer-to-peer nelle economie emergenti creano punti ciechi. Di conseguenza, la RPDC probabilmente si orienterà verso corridoi decentralizzati. Ciò implica rischi di liquidità sostenuti, costi normativi più elevati e potenziali improvvise restrizioni di mercato per gli investitori.
Pareri di esperti
"Le attività criminali informatiche generano circa la metà delle entrate in valuta estera della Corea del Nord e vengono utilizzate per finanziare i suoi programmi di armamento".
— Rapporto sulle sanzioni delle Nazioni Unite, giugno 2025
"Questi fondi consentono alla RPDC di svolgere attività nefaste in tutto il mondo, indebolendo le sanzioni e alimentando la proliferazione".
— Dipartimento di Giustizia degli Stati Uniti
"La strategia del Lazarus Group si è evoluta passando da attacchi informatici opportunistici a operazioni di finanziamento strutturate e sostenute dallo Stato, rendendole più difficili da interrompere."
— Analista di TRM Labs
L'articolo Presunti furti di criptovalute da parte della Corea del Nord nel 2025: dagli attacchi informatici agli exchange al finanziamento delle armi è apparso per la prima volta su BeInCrypto .