وفقًا لتقرير صادر عن فريق مراقبة العقوبات المتعددة الأطراف (MSMT)، سرق القراصنة المرتبطون بكوريا الشمالية مبلغًا مذهلاً قدره ٢,٨٣ مليار دولار من الأصول الافتراضية بين عامي ٢٠٢٤ وسبتمبر ٢٠٢٥.
يؤكد التقرير أن بيونغ يانغ لا تبرع فقط في السرقة بل تمتلك أيضًا طرقًا متقدمة لتسييل المكاسب غير المشروعة.
Sponsoredإيرادات القرصنة تغذي ثلث العملة الأجنبية للدولة
فريق MSMT هو تحالف متعدد الجنسيات يضم ١١ دولة، بما في ذلك الولايات المتحدة وكوريا الجنوبية واليابان. تم تأسيسه في أكتوبر ٢٠٢٤ لدعم تنفيذ عقوبات مجلس الأمن التابع للأمم المتحدة ضد كوريا الشمالية.
وفقًا لـMSMT، فإن مبلغ ٢,٨٣ مليار دولار المسروق من ٢٠٢٤ إلى سبتمبر ٢٠٢٥ هو رقم حاسم.
أشار الفريق إلى أن "عائدات سرقة الأصول الافتراضية لكوريا الشمالية في عام ٢٠٢٤ بلغت حوالي ثلث إجمالي دخل العملة الأجنبية للبلاد".
تسارع نطاق السرقة بشكل كبير، حيث تم سرقة ١,٦٤ مليار دولار في عام ٢٠٢٥ وحده، مما يمثل زيادة بنسبة تزيد عن ٥٠٪ من ١,١٩ مليار دولار المسروقة في عام ٢٠٢٤، على الرغم من أن رقم ٢٠٢٥ لا يشمل الربع الأخير.
Sponsored Sponsoredاختراق Bybit وعصابة TraderTraitor
حدد فريق MSMT اختراق فبراير ٢٠٢٥ لمنصة التبادل العالمية Bybit كمساهم رئيسي في زيادة الإيرادات غير المشروعة في عام ٢٠٢٥. تم نسب الهجوم إلى TraderTraitor، واحدة من أكثر منظمات القرصنة تطورًا في كوريا الشمالية.
كشفت التحقيقات أن المجموعة جمعت معلومات تتعلق بـSafeWallet، مزود المحفظة متعددة التوقيعات المستخدمة من قبل Bybit. ثم حصلوا على وصول غير مصرح به عبر رسائل البريد الإلكتروني الاحتيالية.
استخدموا رمزًا ضارًا للوصول إلى الشبكة الداخلية، وقاموا بتزييف التحويلات الخارجية كحركات أصول داخلية. سمح لهم ذلك بالسيطرة على العقد الذكي للمحفظة الباردة.
أشار فريق MSMT إلى أنه في الاختراقات الكبرى خلال العامين الماضيين، تفضل كوريا الشمالية غالبًا استهداف مزودي الخدمات الخارجية المتصلين بالبورصات. يتم ذلك بدلاً من مهاجمة البورصات نفسها.
Sponsored Sponsoredآلية غسيل الأموال المكونة من تسع خطوات
فصل فريق MSMT عملية غسيل دقيقة من تسع خطوات تستخدمها كوريا الشمالية لتحويل الأصول الافتراضية المسروقة إلى عملة نقدية:
1. يبدل المهاجمون الأصول المسروقة بالعملات المشفرة مثل ETH على بورصة لامركزية (DEX).
2. يخلطون الأموال باستخدام خدمات مثل Tornado Cash, Wasabi Wallet, أو Railgun.
3. يحولون ETH إلى BTC عبر خدمات الجسر.
4. ينقلون الأموال إلى محفظة باردة بعد المرور عبر حسابات البورصات المركزية.
5. يوزعون الأصول إلى محافظ مختلفة بعد جولة ثانية من الخلط.
6. يبدلون BTC بـ TRX (ترون) باستخدام الجسر والتداولات P2P.
7. يحولون TRX إلى العملة المستقرة USDT.
8. ينقلون USDT إلى وسيط Over-the-Counter (OTC).
9. يقوم وسيط OTC بتصفية الأصول إلى العملة المحلية.
الشبكة العالمية تسهل عمليات السحب النقدي
تعتبر المرحلة الأكثر تحديًا هي تحويل العملات المشفرة إلى عملة محلية قابلة للاستخدام. يتم ذلك باستخدام وسطاء OTC والشركات المالية في دول الطرف الثالث، بما في ذلك الصين وروسيا وكمبوديا.
Sponsoredذكر التقرير أفرادًا محددين. يشمل هؤلاء المواطنين الصينيين Ye Dinrong وTan Yongzhi من شركة Shenzhen Chain Element Network Technology وتاجر P2P Wang Yicong.
اتهموا بالتعاون مع كيانات كورية شمالية لتوفير هويات مزورة وتسهيل غسيل الأصول. كما تم اتهام وسطاء روس في تصفية حوالي ٦٠ مليون دولار من اختراق Bybit.
علاوة على ذلك, تم استخدام Huione Pay, مزود خدمة مالية تحت مجموعة Huione في كمبوديا, لغسيل الأموال.
صرحت MSMT أن "مواطن كوري شمالي حافظ على علاقة شخصية مع شركاء Huione Pay وتعاون معهم لتصفية الأصول الافتراضية في أواخر ٢٠٢٣".
أثارت MSMT مخاوف مع الحكومة الكمبودية في أكتوبر وديسمبر ٢٠٢٤. تتعلق هذه المخاوف بأنشطة Huione Pay التي تدعم قراصنة الإنترنت الكوريين الشماليين المعينين من قبل الأمم المتحدة. نتيجة لذلك, رفض البنك الوطني الكمبودي تجديد رخصة الدفع لـ Huione Pay; ومع ذلك, تواصل الشركة العمل في البلاد.
