I følge en rapport utgitt av Multilateral Sanctions Monitoring Team (MSMT), stjal Nord-Korea-tilknyttede hackere svimlende $ 2,83 milliarder i virtuelle aktiva mellom 2024 og september 2025.
Rapporten understreker at Pyongyang ikke bare utmerker seg i tyveri, men også besitter sofistikerte metoder for å likvidere de ulovlige gevinstene.
Inntekter fra hacking utgjør en tredjedel av nasjonens utenlandske valuta
MSMT er en multinasjonal koalisjon av 11 land, inkludert USA, Sør-Korea og Japan. Den ble etablert i oktober 2024 for å støtte implementeringen av FNs sikkerhetsråds sanksjoner mot Nord-Korea.
I følge MSMT er de $ 2,83 milliarder som ble stjålet fra 2024 til september 2025 en kritisk sum.
“Nord-Koreas inntekter fra tyveri av virtuelle aktiva i 2024 utgjorde omtrent en tredjedel av landets totale inntekt i utenlandsk valuta,” bemerket teamet .
Omfanget av tyveri har økt dramatisk, med $ 1,64 milliarder stjålet i 2025 alene, noe som representerer en økning på over 50 % fra de $ 1,19 milliarder som ble tatt i 2024, til tross for at 2025-tallet ikke inkluderer siste kvartal.
Bybit-hacket og TraderTraitor-syndikatet
MSMT identifiserte februar 2025-hackingen av den globale børsen Bybit som en stor bidragsyter til økningen i ulovlige inntekter i 2025. Angrepet ble tilskrevet TraderTraitor, en av Nord-Koreas mest sofistikerte hackerorganisasjoner.
Etterforskningen avdekket at gruppen samlet informasjon relatert til SafeWallet, leverandøren av multisignatur-lommebøker brukt av Bybit. De fikk deretter uautorisert tilgang via phishing-e-poster.
De brukte ondsinnet kode for å få tilgang til det interne nettverket, og forkledde eksterne overføringer som interne aktiva-bevegelser. Dette tillot dem å kapre kontrollen over den kalde lommebokens smarte kontrakt.
MSMT bemerket at i store hack de siste to årene, foretrekker Nord-Korea ofte å målrette tredjepartstjenesteleverandører tilknyttet børser. Dette gjøres i stedet for å angripe børsene selv.
Den ni-trinns hvitvaskingsmekanismen
MSMT beskrev en grundig ni-trinns hvitvaskingsprosess Nord-Korea bruker for å konvertere de stjålne virtuelle aktivaene til fiat-valuta:
1. Angriperne bytter stjålne aktiva mot kryptovalutaer som ETH på en desentralisert børs (DEX).
2. De ‘mikser’ midlene ved hjelp av tjenester som Tornado Cash, Wasabi Wallet eller Railgun.
3. De konverterer ETH til BTC via brotjenester.
4. De flytter midlene til en kald lommebok etter å ha passert gjennom sentraliserte børs-kontoer.
5. De sprer aktivaene til forskjellige lommebøker etter en andre runde med miksing.
6. De bytter BTC mot TRX (Tron) ved hjelp av bro- og P2P-handler.
7. De konverterer TRX til stablecoinen USDT.
8. De overfører USDT til en Over-the-Counter (OTC) megler.
9. OTC-megleren likviderer aktivaene til lokal fiat-valuta.
Globalt nettverk muliggjør uttak
Den mest utfordrende fasen er å konvertere krypto til brukbar fiat. Dette oppnås ved hjelp av OTC-meglere og finansselskaper i tredjepartsland, inkludert Kina, Russland og Kambodsja.
Rapporten navnga spesifikke individer. Disse inkluderer kinesiske statsborgere Ye Dinrong og Tan Yongzhi fra Shenzhen Chain Element Network Technology og P2P-trader Wang Yicong.
De skal angivelig ha samarbeidet med nordkoreanske enheter for å gi falske ID-er og lette aktiva-hvitvasking. Russiske mellommenn ble også implisert i likvideringen av omtrent $ 60 millioner fra Bybit-hacket.
Videre ble Huione Pay, en finansiell tjenesteleverandør under Kambodsjas Huione Group, brukt til hvitvasking.
“En nordkoreansk statsborger opprettholdt et personlig forhold til Huione Pay-assosierte og samarbeidet med dem for å ta ut virtuelle aktiva sent i 2023,” uttalte MSMT.
MSMT uttrykte bekymringer overfor den kambodsjanske regjeringen i oktober og desember 2024. Disse bekymringene gjaldt Huione Pays aktiviteter som støtter FN-utpekte nordkoreanske cyberhackere. Som et resultat nektet Kambodsjas nasjonalbank å fornye Huione Pays betalingslisens; imidlertid fortsetter selskapet å operere i landet.
