هاكر كوريا الشمالية سرق 2.83 مليار USD من العملات المشفرة في أقل من عامين: تقرير

أفاد تقرير جديد من مجموعة مراقبة العقوبات متعددة الأطراف (MSMT) أن مجموعات القراصنة الكوريين الشماليين قد سرقت ما مجموعه 2.83 مليار USD من الأصول المشفرة خلال الفترة من يناير 2024 إلى سبتمبر 2025.

تشكل هذه الرقم حوالي ثلث إجمالي دخل العملات الأجنبية لكوريا الشمالية في عام 2024، مما يعكس مدى اعتماد بيونغ يانغ المتزايد على الأنشطة الإجرامية الإلكترونية للتملص من العقوبات الدولية.

هجوم بايبت هو الأكبر

MSMT — التحالف المكون من 11 دولة الذي تم تأسيسه في أكتوبر 2024 — تم إنشاؤه لمراقبة كيفية تفادي كوريا الشمالية للعقوبات من خلال الهجمات الإلكترونية. تشير أحدث التقارير إلى أن حجم سرقة العملات المشفرة قد زاد بشكل كبير في عام 2025، حيث تم سرقة 1.64 مليار USD فقط في الأشهر التسعة الأولى من العام، بزيادة قدرها 50% مقارنة بـ 1.19 مليار USD من العام السابق.

معظم هذا المال يأتي من هجوم على منصة Bybit في فبراير 2025، والذي يُعتقد أنه نفذه مجموعة TraderTraitor ( والمعروفة أيضًا باسم Jade Sleet أو UNC4899). استهدف القراصنة SafeWallet، مزود محفظة متعددة التوقيع لـ Bybit، من خلال إرسال بريد إلكتروني احتيالي يحتوي على برامج ضارة لاختراق النظام الداخلي. بعد ذلك، قاموا بتزييف معاملات تحويل الأموال إلى معاملات داخلية، واستولوا على السيطرة على العقد الذكي للمحفظة الباردة وسحب الأموال دون أن يتم اكتشافهم.

وفقًا لـ MSMT، فإن مجموعات القراصنة من كوريا الشمالية غالبًا ما لا تهاجم البورصات مباشرة، بل تركز على مزودي الخدمة من الطرف الثالث. تستخدم مجموعات مثل TraderTraitor و CryptoCore و Citrine Sleet ملفات تعريف لمطوري برامج مزيفة، وهويات مسروقة، ومعرفة عميقة بسلسلة توريد البرمجيات لتنفيذ الهجمات.

تعتبر حالة بارزة هي مشروع Web3 Munchables، الذي تم سرقة 63 مليون USD منه، لكن هذا المبلغ تم استرداده لاحقًا عندما واجهت مجموعة القراصنة مشاكل أثناء عملية غسل الأموال.

عملية غسيل الأموال المعقدة

تحليل MSMT يصف سلسلة من تسع خطوات لغسل الأموال التي يستخدمها المتسللون الكوريون الشماليون غالبًا لتحويل العملات المشفرة المسروقة إلى نقود. تبدأ العملية بتبادل الأصول المسروقة إلى Ethereum (ETH) على منصات غير مركزية، ثم استخدام خدمات الخلط مثل Tornado Cash و Wasabi Wallet لإزالة آثار المعاملات.

ثم يتم تحويل ETH إلى Bitcoin (BTC) عبر الجسور، ثم يتم خلطه مرة أخرى، وتخزينه في محفظة باردة، ثم يتم تحويله إلى Tron (TRX) قبل تحويله إلى USDT. وأخيرًا، يتم إرسال USDT إلى وسطاء OTC، الذين سيقومون بتحويله إلى نقد.

تقرير يحدد الأفراد والشركات في الصين وروسيا وكمبوديا الذين يلعبون دورًا حاسمًا في هذه العملية.

• في الصين، ساعد المواطن يي دينرونغ وتان يونغتشي من شبكة تكنولوجيا عناصر سلسلة شنتشن، مع المتداول وانغ ييكونغ، في تحويل الأموال وإنشاء هوية مزيفة.
• في روسيا، قام الوسطاء بغسل حوالي 60 مليون USD من قضية Bybit عبر شبكة OTC.
• في كمبوديا، تم الكشف عن أن منصة Huione Pay ( التي يترأسها ابن عم رئيس الوزراء هون مانيت ) تساعد في تحويل الأموال على الرغم من أن الترخيص قد انتهى بسبب عدم تجديده من قبل البنك المركزي.

أفادت MSMT أيضًا أن قراصنة كوريا الشمالية قد تعاونوا مع مجرمي الإنترنت الناطقين بالروسية منذ عام 2010، وفي عام 2025، قامت مجموعة Moonstone Sleet باستئجار أدوات برامج الفدية من عصابة Qilin الروسية.

في مواجهة هذا التهديد المتصاعد، أصدرت 11 دولة عضو في MSMT بيانًا مشتركًا تدعو فيه الدول الأعضاء في الأمم المتحدة إلى تعزيز الوعي بالأنشطة الإجرامية الإلكترونية لكوريا الشمالية، بينما تحث مجلس الأمن التابع للأمم المتحدة على استعادة لجنة الخبراء لمراقبة العقوبات بنفس الحجم والصلاحيات كما كانت قبل حلها.

ثạch سان