Secondo un rapporto pubblicato dal Multilateral Sanctions Monitoring Team (MSMT), tra il 2024 e settembre 2025 alcuni hacker legati alla Corea del Nord hanno rubato la sbalorditiva cifra di 2,83 miliardi di dollari in asset virtuali.
Il rapporto sottolinea che Pyongyang non solo eccelle nei furti, ma possiede anche metodi sofisticati per liquidare i guadagni illeciti.
I profitti derivanti dall'hacking alimentano un terzo della valuta estera della nazione
L'MSMT è una coalizione multinazionale di 11 paesi, tra cui Stati Uniti, Corea del Sud e Giappone. È stata istituita nell'ottobre 2024 per sostenere l'attuazione delle sanzioni del Consiglio di Sicurezza delle Nazioni Unite contro la Corea del Nord.
Secondo l'MSMT, i 2,83 miliardi di dollari rubati dal 2024 a settembre 2025 rappresentano una cifra critica.
"I proventi derivanti dal furto di asset virtuali in Corea del Nord nel 2024 ammontavano a circa un terzo del reddito totale in valuta estera del Paese", ha osservato il team.
La portata dei furti ha subito un'accelerazione drastica , con 1,64 miliardi di dollari rubati solo nel 2025, con un aumento di oltre il 50% rispetto agli 1,19 miliardi di dollari rubati nel 2024, nonostante la cifra del 2025 non includa l'ultimo trimestre.
L'hacking di Bybit e il sindacato TraderTraitor
L'MSMT ha individuato nell'attacco hacker del febbraio 2025 ai danni della borsa globale Bybit un fattore determinante nell'aumento dei profitti illeciti del 2025. L'attacco è stato attribuito a TraderTraitor, una delle organizzazioni di hacking più sofisticate della Corea del Nord.
L'indagine ha rivelato che il gruppo ha raccolto informazioni relative a SafeWallet, il fornitore di wallet multi-firma utilizzato da Bybit. Hanno poi ottenuto l'accesso non autorizzato tramite e-mail di phishing.
Hanno utilizzato codice dannoso per accedere alla rete interna, camuffando i trasferimenti esterni come movimenti di asset interni. Ciò ha permesso loro di dirottare il controllo dello smart contract del cold wallet.
L'MSMT ha osservato che, nei principali attacchi informatici degli ultimi due anni, la Corea del Nord ha spesso preferito prendere di mira i fornitori di servizi terzi collegati agli exchange, piuttosto che attaccare gli exchange stessi .
Il meccanismo di riciclaggio in nove fasi
L'MSMT ha descritto nei dettagli un meticoloso processo di riciclaggio in nove fasi che la Corea del Nord utilizza per convertire i beni virtuali rubati in valuta fiat:
1. Gli aggressori scambiano i beni rubati con criptovalute come ETH su un exchange decentralizzato (DEX).
2. "Mescolano" i fondi utilizzando servizi come Tornado Cash, Wasabi Wallet o Railgun.
3. Convertono ETH in BTC tramite servizi bridge.
4. Trasferiscono i fondi su un cold wallet dopo averli passati attraverso conti di scambio centralizzati.
5. Dopo un secondo ciclo di mixaggio, distribuiscono le risorse su diversi portafogli.
6. Scambiano BTC con TRX (Tron) utilizzando scambi bridge e P2P.
7. Convertono TRX nella stablecoin USDT.
8. Trasferiscono l'USDT a un broker Over-the-Counter (OTC).
9. Il broker OTC liquida le attività in valuta fiat locale.
La rete globale facilita il prelievo di contanti
La fase più impegnativa è la conversione delle criptovalute in valuta fiat utilizzabile. Questa operazione viene realizzata tramite broker OTC e società finanziarie di paesi terzi, tra cui Cina, Russia e Cambogia.
Il rapporto ha fatto i nomi di individui specifici. Tra questi, i cittadini cinesi Ye Dinrong e Tan Yongzhi della Shenzhen Chain Element Network Technology e il trader P2P Wang Yicong.
Si presume che abbiano collaborato con entità nordcoreane per fornire documenti d'identità falsi e facilitare il riciclaggio di beni . Intermediari russi sono stati anche implicati nella liquidazione di circa 60 milioni di dollari derivanti dall'attacco informatico a Bybit.
Inoltre, Huione Pay, un fornitore di servizi finanziari del gruppo cambogiano Huione , è stato utilizzato per il riciclaggio.
"Un cittadino nordcoreano ha mantenuto un rapporto personale con i soci di Huione Pay e ha collaborato con loro per incassare asset virtuali alla fine del 2023", ha affermato l'MSMT.
L'MSMT ha sollevato preoccupazioni presso il governo cambogiano nell'ottobre e nel dicembre 2024. Tali preoccupazioni riguardavano le attività di Huione Pay a supporto di hacker nordcoreani designati dall'ONU. Di conseguenza, la Banca Nazionale della Cambogia ha rifiutato di rinnovare la licenza di pagamento di Huione Pay; tuttavia, la società continua a operare nel Paese.
Il post Un nuovo rapporto rivela la portata allarmante degli hacker di criptovalute della Corea del Nord è apparso per la prima volta su BeInCrypto .