Un nuovo rapporto del Multilateral Sanctions Monitoring Team (MSMT) mostra che gli hacker nordcoreani hanno rubato 2,83 miliardi di dollari in criptovalute tra gennaio 2024 e settembre 2025.
Questa cifra rappresenta quasi un terzo del reddito totale in valuta estera del Paese nel 2024.
Bybit Exploit è stato il maggiore contributore
L'MSMT, una coalizione di 11 paesi costituita nell'ottobre 2024, è stata creata per monitorare come la Corea del Nord elude le sanzioni internazionali attraverso la criminalità informatica. Le sue ultime scoperte rivelano che l'entità del furto di criptovalute è aumentata nel 2025, con gli hacker che hanno rubato 1,64 miliardi di dollari solo nei primi nove mesi, segnando un aumento del 50% rispetto agli 1,19 miliardi di dollari rubati l'anno scorso.
La maggior parte del totale di quest'anno è derivata da un attacco di febbraio a Bybit, collegato al gruppo TraderTraitor, noto anche come Jade Sleet o UNC4899. Gli hacker hanno preso di mira SafeWallet, un fornitore di wallet multi-firma per Bybit, utilizzando e-mail di phishing e malware per accedere ai sistemi interni. Hanno quindi camuffato i trasferimenti esterni facendoli apparire come interni, riuscendo così a prendere il controllo dello smart contract del cold wallet e a spostare i fondi senza essere scoperti.
Secondo l'MSMT, gli hacker nordcoreani spesso evitano di attaccare direttamente gli exchange, prendendo di mira invece i fornitori di servizi terzi. Gruppi come TraderTraitor, CryptoCore e Citrine Sleet hanno utilizzato falsi profili di sviluppatori, identità rubate e una conoscenza approfondita delle catene di fornitura del software per portare a termine i loro attacchi. In un caso degno di nota, il progetto Web3 Munchables ha perso 63 milioni di dollari in un attacco hacker, sebbene i fondi siano stati successivamente restituiti dopo che, secondo quanto riferito, l'azienda ha avuto problemi durante il riciclaggio.
Come funziona il riciclaggio
L'analisi rivela un processo in nove fasi utilizzato per ripulire e convertire le criptovalute rubate in denaro. Gli hacker iniziano scambiando gli asset rubati con Ethereum (ETH) su exchange decentralizzati, quindi utilizzano servizi di mixing come Tornado Cash e Wasabi Wallet per nascondere le tracce delle transazioni. Gli ETH vengono quindi convertiti in Bitcoin (BTC) tramite piattaforme bridge, nuovamente mixati, conservati in cold wallet e infine scambiati per Tron (TRX) prima di essere convertiti in USDT. Il passaggio finale prevede l'invio di USDT a broker over-the-counter che li scambiano con denaro contante.
Broker e aziende in Cina, Russia e Cambogia sono stati identificati come attori chiave in questo processo. In Cina, i cittadini Ye Dinrong e Tan Yongzhi della Shenzhen Chain Element Network Technology, insieme al trader Wang Yicong, hanno contribuito a spostare fondi e creare documenti d'identità falsi. Gli intermediari russi hanno convertito circa 60 milioni di dollari dall'attacco hacker di Bybit tramite broker OTC, mentre la cambogiana Huione Pay è stata utilizzata per trasferire fondi rubati nonostante la sua licenza non fosse stata rinnovata dalla banca centrale.
L'MSMT ha inoltre affermato che gli hacker nordcoreani collaborano con criminali informatici di lingua russa fin dagli anni 2010. Nel 2025, alcuni attori legati a Moonstone Sleet hanno preso in leasing strumenti ransomware dal gruppo russo Qilin.
In risposta, le 11 giurisdizioni che compongono l'MSMT hanno rilasciato una dichiarazione congiunta esortando i paesi membri delle Nazioni Unite a sensibilizzare l'opinione pubblica su queste attività informatiche e hanno invitato il Consiglio di sicurezza delle Nazioni Unite a ripristinare il suo gruppo di esperti "con la stessa forza e struttura che aveva prima del suo scioglimento".
L'articolo Il furto di criptovalute in Corea del Nord raggiunge i 2,83 miliardi di dollari dal 2024 è apparso per la prima volta su CryptoPotato .