Nel 2025, il furto di criptovalute si è evoluto da semplici furti e truffe opportunistiche a operazioni sofisticate, sponsorizzate dagli stati nazionali, che prendono di mira i principali exchange e le infrastrutture critiche. Nella prima metà del 2025 sono stati rubati oltre 2,17 miliardi di dollari e questa cifra continua ad aumentare di mese in mese .
Solo a settembre, 20 attacchi legati alle criptovalute hanno causato perdite per 127,06 milioni di dollari, evidenziando la crescente minaccia. Di seguito sono riportati tre hacker di alto profilo coinvolti in importanti attacchi alle criptovalute.
1. Gruppo Lazzaro
Il Lazarus Group è una famigerata e longeva organizzazione di hacker sostenuta dalla Corea del Nord. Conosciuto con alias come APT 38, Labyrinth Chollima e HIDDEN COBRA, il gruppo ha costantemente dimostrato la capacità di bypassare anche i sistemi di sicurezza più avanzati.
Inoltre, Hacken ha osservato che le loro operazioni risalgono almeno al 2007, a partire dalle intrusioni nei sistemi governativi sudcoreani. Altri attacchi degni di nota includono l'attacco hacker a Sony Pictures nel 2014 (rappresaglia per il film The Interview), l'epidemia di ransomware WannaCry nel 2017 e le campagne in corso che prendono di mira i settori economici della Corea del Sud.
Negli ultimi anni, Lazarus si è concentrato molto sul furto di criptovalute, rubando oltre 5 miliardi di dollari tra il 2021 e il 2025. Il più significativo è stato l'attacco informatico a Bybit nel febbraio 2025, quando il gruppo ha rubato 1,5 miliardi di dollari in Ethereum (ETH), il più grande furto di criptovalute mai registrato. Altre operazioni includono un furto di Solana (SOL) da 3,2 milioni di dollari nel maggio 2025 .
"L'attacco hacker a ByBit da parte della RPDC ha cambiato radicalmente il panorama delle minacce del 2025. Con un valore di 1,5 miliardi di dollari, questo singolo incidente non solo rappresenta il più grande furto di criptovalute della storia, ma rappresenta anche circa il 69% di tutti i fondi rubati dai servizi quest'anno", ha scritto Chainalysis a luglio.
2. Gonjeshke Darinde
Gonjeshke Darande (passero predatore) è un gruppo di cyberattacchi motivato politicamente , ampiamente ritenuto avere legami con Israele. Nel contesto dell'escalation del conflitto tra Israele e Iran, il gruppo ha sfruttato Nobitex , il più grande exchange di criptovalute iraniano, rubando circa 90 milioni di dollari prima di bruciare i fondi.
Gonjeshke Darande ha inoltre reso pubblico il codice sorgente di Nobitex, minando i sistemi proprietari dell'exchange e infliggendo un duro colpo alla sua credibilità presso utenti e partner.
"12 ore fa, 8 indirizzi di burn hanno bruciato 90 milioni di dollari dai portafogli di Nobitex, lo strumento di violazione delle sanzioni preferito dal regime. Tra 12 ore il codice sorgente di Nobitex sarà aperto al pubblico e il giardino recintato di Nobitex sarà senza muri. Dove volete che siano i vostri beni?" hanno scritto a giugno.
Anche gli altri attacchi del gruppo si sono concentrati sulle infrastrutture iraniane, sulle banche e altro ancora.
- Nel luglio 2021, Gonjeshke Darande ha interrotto il sistema ferroviario iraniano, causando gravi ritardi e pubblicando messaggi beffardi sui tabelloni pubblici.
- Nell'ottobre 2022, il gruppo ha attaccato tre importanti acciaierie, diffondendo filmati di incendi che hanno causato gravi danni fisici ed economici.
- Nel maggio 2025, hanno violato la Bank Sepah, la banca statale iraniana, facendo trapelare dati sensibili e interrompendo le operazioni finanziarie.
3. UNC4899
UNC4899 è un'altra unità di hacking crittografico sponsorizzata dallo stato nordcoreano . Secondo il rapporto Cloud Threat Horizons di Google, il gruppo opera sotto la supervisione del Reconnaissance General Bureau (RGB), la principale agenzia di intelligence della Corea del Nord.
Il rapporto ha rivelato che il gruppo è attivo almeno dal 2020. Inoltre, UNC4899 ha concentrato i suoi sforzi sui settori delle criptovalute e della blockchain . Il gruppo ha dimostrato capacità avanzate nell'esecuzione di compromissioni della supply chain.
"Un esempio degno di nota è il loro presunto sfruttamento di JumpCloud, che hanno sfruttato per infiltrarsi in un'entità di soluzioni software e successivamente colpire i clienti a valle all'interno del settore delle criptovalute, sottolineando i rischi a cascata posti da avversari così avanzati", si legge nel rapporto .
Tra il 2024 e il 2025, l'hacker di criptovalute ha portato a termine due importanti furti di criptovalute. In un caso, ha attirato una vittima su Telegram, ha distribuito malware tramite container Docker, ha bypassato l'autenticazione a più fattori (MFA) su Google Cloud e ha rubato milioni di dollari in criptovalute.
In un altro caso, hanno contattato un obiettivo tramite LinkedIn, hanno rubato i cookie di sessione AWS per aggirare i controlli di sicurezza, hanno iniettato codice JavaScript dannoso nei servizi cloud e, ancora una volta, hanno sottratto milioni di dollari in asset digitali.
Quest'anno, il furto di criptovalute è diventato uno strumento di conflitto geopolitico tanto quanto la criminalità finanziaria. I miliardi persi quest'anno – e le motivazioni strategiche alla base di molti attacchi – dimostrano che gli exchange, i fornitori di infrastrutture e persino i governi devono ora considerare la sicurezza delle criptovalute una questione di sicurezza nazionale. Senza una difesa coordinata, la condivisione di informazioni e misure di sicurezza più efficaci nell'intero ecosistema, le perdite non faranno che aumentare.
L'articolo I più ricercati nel settore delle criptovalute: 3 hacker che stanno guidando l'ondata di criminalità digitale è apparso per la prima volta su BeInCrypto .