I 2025 har kryptovalutatyveri utviklet seg fra enkle svindel og opportunistiske bedragerier til sofistikerte, statssponsede operasjoner som retter seg mot store børser og kritisk infrastruktur. Over $ 2,17 milliarder ble stjålet i første halvdel av 2025, og dette tallet fortsetter å øke måned for måned.
Alene i september resulterte 20 kryptorelaterte angrep i $ 127,06 millioner i rapporterte tap, noe som understreker den økende trusselen. Nedenfor er tre høyprofilerte hackere som har vært involvert i store kryptangrep.
1. Lazarus Group
The Lazarus Group er en beryktet, langvarig hackerorganisasjon støttet av Nord-Korea. Kjent under aliaser som APT 38, Labyrinth Chollima og HIDDEN COBRA, har gruppen konsekvent vist evnen til å omgå selv de mest avanserte sikkerhetssystemene.
Videre har Hacken notert at deres operasjoner går tilbake til minst 2007, med inntrengninger i sørkoreanske regjeringssystemer. Andre bemerkelsesverdige angrep inkluderer Sony Pictures-hacket i 2014 (hevn for filmen The Interview), WannaCry ransomware-utbruddet i 2017, og pågående kampanjer rettet mot økonomiske sektorer i Sør-Korea.
De siste årene har Lazarus fokusert sterkt på kryptovalutatyveri, og stjålet mer enn $ 5 milliarder mellom 2021 og 2025. Det mest betydningsfulle var Bybit-hacket i februar 2025, da gruppen stjal $ 1,5 milliarder i Ethereum (ETH)—det største kryptotyveriet noensinne. Ytterligere operasjoner inkluderte et $ 3,2 millioner Solana (SOL) tyveri i mai 2025.
“DPRKs ByBit-hack endret fundamentalt trussellandskapet i 2025. Med $ 1,5 milliarder representerer denne enkeltstående hendelsen ikke bare det største kryptotyveriet i historien, men utgjør også omtrent 69 % av alle midler stjålet fra tjenester i år,” skrev Chainalysis i juli.
2. Gonjeshke Darinde
Gonjeshke Darande (predatory sparrow) er en politisk motivert cyberangrepsgruppe, som antas å ha bånd til Israel. Midt i eskalerende Israel-Iran-konflikter utnyttet gruppen Nobitex, Irans største kryptobørs, og stjal rundt $ 90 millioner før de brente midlene.
Gonjeshke Darande avslørte også Nobitexs kildekode offentlig, undergravde børsens proprietære systemer og ga et stort slag mot dens troverdighet hos brukere og partnere.
“For 12 timer siden brente 8 brennadresser $ 90 millioner fra lommebøkene til regimets favorittverktøy for sanksjonsbrudd, Nobitex. Om 12 timer vil kildekoden til Nobitex være åpen for publikum, og Nobitexs inngjerdede hage vil være uten vegger. Hvor vil du at dine aktiva skal være?” postet de i juni.
Gruppens andre angrep har også fokusert på iransk infrastruktur, banker og mer.
- I juli 2021 forstyrret Gonjeshke Darande Irans jernbanesystemer, forårsaket store forsinkelser og postet hånende meldinger på offentlige tavler.
- I oktober 2022 angrep gruppen tre store stålverk, og slapp opptak av branner som forårsaket alvorlig fysisk og økonomisk skade.
- I mai 2025 brøt de seg inn i Bank Sepah, Irans statseide bank, lekket sensitiv data og forstyrret finansielle operasjoner.
3. UNC4899
UNC4899 er en annen nordkoreansk statssponset kryptohackerenhet. Ifølge Googles Cloud Threat Horizons Report opererer gruppen under Reconnaissance General Bureau (RGB), Nord-Koreas primære etterretningsbyrå.
Rapporten avslørte at gruppen har vært aktiv siden minst 2020. Videre har UNC4899 konsentrert sine anstrengelser om kryptovaluta- og blokkjede-sektorene. Gruppen har vist avanserte evner i å utføre forsyningskjede-kompromisser.
“Et bemerkelsesverdig eksempel er deres mistenkte utnyttelse av JumpCloud, som de brukte til å infiltrere en programvareløsning og deretter ofre nedstrøms kunder innen kryptovaluta-sektoren, noe som understreker de kaskaderende risikoene som slike avanserte motstandere utgjør,” står det i rapporten.
Mellom 2024 og 2025 utførte kryptohackeren to store kryptotyverier. I ett tilfelle lokket de et offer på Telegram, distribuerte malware gjennom Docker-containere, omgått MFA i Google Cloud, og stjal millioner i kryptovaluta.
I et annet tilfelle nærmet de seg et mål via LinkedIn, stjal AWS-sesjonskapsler for å omgå sikkerhetskontroller, injiserte ondsinnet JavaScript i skytjenester, og igjen tappet millioner i digitale aktiva.
Dermed har kryptotyveri i år blitt et verktøy for geopolitisk konflikt like mye som økonomisk kriminalitet. De milliardene som har gått tapt i år—og de strategiske motivene bak mange angrep—viser at børser, infrastrukturleverandører og til og med regjeringer nå må behandle kryptosikkerhet som et spørsmål om nasjonal sikkerhet. Uten koordinert forsvar, etterretningsdeling og sterkere sikkerhetstiltak på tvers av økosystemet, vil tapene bare fortsette å eskalere.
