Furti di Criptovalute da Parte della DPRK
Gli hacker della Repubblica Popolare Democratica di Corea, conosciuta anche come DPRK o Corea del Nord, hanno rubato, fino ad ora nel 2025, criptovalute per un valore di 2,02 miliardi di dollari, secondo un rapporto di Chainalysis pubblicato giovedì. Questo rappresenta un aumento del 51% rispetto al dato dell’anno scorso ed è l’anno con il maggior numero di furti di criptovalute legati alla DPRK.
Statistiche sui Furti di Criptovalute
In totale, il settore delle criptovalute ha registrato furti per 3,4 miliardi di dollari quest’anno, il che significa che gli attacchi della DPRK rappresentano il 59% di questi fondi rubati. Chainalysis ritiene che i dati mostrino un’evoluzione da parte della Corea del Nord, poiché iniziano a compiere meno attacchi, ma infliggono danni significativamente maggiori con ogni colpo.
Esempi di Attacchi
L’attacco da 1,5 miliardi di dollari a Bybit di febbraio, collegato dall’FBI alla DPRK, è un esempio chiave di questa evoluzione. “Per l’industria delle criptovalute, questa evoluzione richiede una maggiore vigilanza attorno a obiettivi di alto valore e un miglioramento nella rilevazione dei modelli specifici di riciclaggio della DPRK,” afferma il rapporto.
Modelli di Riciclaggio
“Le loro preferenze costanti per determinati tipi di servizi e importi di trasferimento offrono opportunità di rilevamento, li distinguono da altri criminali e possono aiutare gli investigatori a identificare la loro impronta comportamentale on-chain.”
Chainalysis afferma di aver identificato un modello distintivo di riciclaggio in tre onde, lungo 45 giorni, che gli attaccanti della DPRK seguono solitamente. Gli identificatori includono l’uso di servizi in lingua cinese, una forte dipendenza dal bridging di asset tra catene per confondere il tracciamento e un maggiore utilizzo di servizi di mixing di criptovalute. Questo modello, secondo il rapporto, è persistito negli ultimi anni.
Minacce Emergenti
Chainalysis non ha risposto alla richiesta di Decrypt per un commento su come gli analisti sappiano che questi attacchi provenivano dalla DPRK e non da altri gruppi. Sempre più spesso, gli attacchi provengono da attori malintenzionati assunti da aziende di criptovalute. L’attaccante lavora quindi per ottenere accesso privilegiato prima di rubare informazioni o fondi importanti.
Strategie di Difesa
Binance ha dichiarato a Decrypt durante l’estate che gli hacker nordcoreani tentano di essere assunti dalla grande borsa centralizzata ogni giorno. Jimmy Su, chief security officer di Binance, ha spiegato che gli attaccanti possono persino utilizzare video in diretta generati da intelligenza artificiale e cambiatori di voce durante le chiamate nel tentativo di essere assunti. L’exchange ha identificato diversi segnali rivelatori comuni degli attaccanti della DPRK e condivide queste informazioni con altri exchange di criptovalute tramite Telegram e Signal.
Conclusioni
“Poiché la Corea del Nord continua a utilizzare il furto di criptovalute per finanziare le priorità statali e aggirare le sanzioni internazionali, l’industria deve riconoscere che questo attore minaccioso opera secondo regole diverse rispetto ai criminali informatici tipici,” ha affermato il rapporto di Chainalysis.
“Le prestazioni da record della Corea del Nord nel 2025 – ottenute con il 74% di attacchi noti in meno – suggeriscono che potremmo vedere solo la parte più visibile delle sue attività. La sfida per il 2026 sarà rilevare e prevenire queste operazioni ad alto impatto prima che gli attori affiliati alla DPRK infliggano un altro incidente su scala Bybit,” ha concluso.
