La Corea del Nord e il Finanziamento dell’Esercito tramite Criptovalute
La Corea del Nord si affida a gruppi di hacker sostenuti dallo stato, come Lazarus, per finanziare il proprio esercito. Le criptovalute rubate rappresentano quasi un terzo delle sue entrate in valuta estera, fornendo un flusso di cassa costante e illecito, immune dalle sanzioni tradizionali.
Rapporto sul Furto di Criptovalute
In un rapporto del 22 ottobre, il Multilateral Sanctions Monitoring Team ha dichiarato che, tra gennaio 2024 e settembre 2025, attori nordcoreani hanno orchestrato furti di criptovalute per un totale di almeno 2,8 miliardi di dollari, attraverso gruppi di hacker sostenuti dallo stato e attori informatici che prendono di mira il settore degli asset digitali.
“La maggior parte del bottino proviene da incidenti significativi, incluso l’exploit di Bybit nel febbraio 2025, che da solo ha rappresentato circa la metà del totale.”
Il rapporto attribuisce questi exploit a noti attori della minaccia nordcoreana, che utilizzano metodi sofisticati di compromissione della supply chain, ingegneria sociale e compromissione dei portafogli.
Gruppi di Hacker e Metodi di Attacco
Le operazioni di criptovaluta della Corea del Nord ruotano attorno a un ecosistema ristretto di gruppi di hacker legati allo stato, tra cui Lazarus, Kimsuky, TraderTraitor e Andariel, le cui impronte digitali compaiono in quasi ogni violazione significativa di asset digitali degli ultimi due anni.
Secondo gli analisti di cybersecurity, questi team operano sotto il Reconnaissance General Bureau, il principale braccio dell’intelligence di Pyongyang, coordinando attacchi che imitano l’efficienza del settore privato.
La loro principale innovazione è stata quella di bypassare completamente gli exchange, prendendo di mira invece i fornitori di custodia di asset digitali di terze parti utilizzati dagli exchange per lo stoccaggio sicuro.
Incidenti Significativi e Conseguenze
Compromettendo l’infrastruttura di aziende come Safe(Wallet), Ginco e Liminal Custody, gli attori nordcoreani hanno ottenuto una chiave master per rubare fondi da clienti tra cui Bybit, DMM Bitcoin del Giappone e WazirX dell’India.
“L’attacco a DMM Bitcoin, che ha portato a una perdita di 308 milioni di dollari e alla chiusura dell’exchange, è stato avviato mesi prima, quando un attore di TraderTraitor, fingendosi un reclutatore su LinkedIn, ha ingannato un dipendente di Ginco inducendolo ad aprire un file malevolo travestito da test pre-colloquio.”
Altri gruppi sponsorizzati dallo stato operano in concerto con questo sforzo principale. Il collettivo CryptoCore, sebbene meno sofisticato, conduce ingegneria sociale ad alto volume, fingendosi reclutatori e dirigenti aziendali per infiltrarsi nei bersagli.
Nel frattempo, Citrine Sleet ha sviluppato una reputazione per l’uso di software di trading di criptovalute trojanizzati. In un incidente dettagliato nell’ottobre 2024, un attore di Citrine Sleet, fingendosi un ex appaltatore fidato su Telegram, ha consegnato un file ZIP malevolo a uno sviluppatore di Radiant Capital, portando a un furto di 50 milioni di dollari.
Processo di Riciclaggio e Implicazioni Globali
Una volta rubati, gli asset digitali entrano in un complesso processo di riciclaggio in nove fasi progettato per oscurarne l’origine e convertirli in valuta fiat utilizzabile. Gli attori informatici della DPRK scambiano sistematicamente token rubati in criptovalute consolidate come Ethereum o Bitcoin, quindi utilizzano una serie di servizi di mixing, tra cui Tornado Cash e Wasabi Wallet.
Successivamente, sfruttano ponti cross-chain e aggregatori come THORChain e LI.FI per saltare tra le blockchain, spesso convertendo gli asset mescolati in USDT basati su Tron per prepararli al cash-out.
Gli investigatori hanno affermato che l’intera operazione si basa su una rete di broker over-the-counter, prevalentemente in Cina, che accettano l’USDT riciclato e depositano valuta fiat equivalente in conti bancari controllati dalla DPRK tramite carte UnionPay cinesi.
Conclusioni
Questa incessante campagna di furti digitali ha conseguenze dirette e gravi nel mondo reale. I miliardi sottratti all’ecosistema delle criptovalute non svaniscono in un vuoto burocratico. Il rapporto MSMT conclude che questo flusso di entrate è fondamentale per procurare materiali e attrezzature per i programmi illeciti di armi di distruzione di massa e missili balistici della DPRK.
Fornendo un enorme flusso di cassa illecito che è immune dalle sanzioni finanziarie tradizionali, l’industria globale delle criptovalute è stata armata, diventando un finanziatore non regolamentato e riluttante delle ambizioni militari di Pyongyang. I furti non sono semplicemente crimini di profitto; sono atti di politica statale, finanziando un accumulo militare che minaccia la sicurezza globale.
