Multilateral Sanctions Monitoring Team (MSMT) -ryhmän julkaisema raportti kertoo, että Pohjois-Koreaan liittyvät hakkerit varastivat huimat 2,83 miljardia dollaria virtuaalisia omaisuuseriä vuosien 2024 ja syyskuun 2025 välillä.
Raportti korostaa, että Pyongyang ei ainoastaan ole taitava varkaudessa, vaan sillä on myös kehittyneitä menetelmiä laittomien voittojen likvidointiin.
Hakkeroinnin tuotto kattaa kolmanneksen maan ulkomaanvaluutasta
MSMT on 11 maan monikansallinen koalitio, johon kuuluvat muun muassa Yhdysvallat, Etelä-Korea ja Japani. Se perustettiin lokakuussa 2024 tukemaan YK:n turvallisuusneuvoston Pohjois-Koreaa koskevien pakotteiden täytäntöönpanoa.
MSMT:n mukaan vuosina 2024–syyskuu 2025 varastettu 2,83 miljardia dollaria on merkittävä tunnusluku.
“Pohjois-Korean virtuaalisten omaisuuserien varkaudet vuonna 2024 muodostivat noin kolmanneksen maan koko ulkomaanvaluuttatuloista,” tiimi totesi.
Varkauksien mittakaava on kasvanut dramaattisesti, sillä vuonna 2025 varastettiin 1,64 miljardia dollaria, mikä on yli 50 % enemmän kuin vuonna 2024 varastetut 1,19 miljardia dollaria, vaikka vuoden 2025 luku ei sisällä viimeistä neljännestä.
Bybit-hakkerointi ja TraderTraitor-syndikaatti
MSMT tunnisti helmikuun 2025 Bybit-pörssin hakkeroinnin merkittäväksi tekijäksi laittomien tulojen kasvuun vuonna 2025. Hyökkäys liitettiin TraderTraitoriin, yhteen Pohjois-Korean kehittyneimmistä hakkerointiorganisaatioista.
Tutkimus paljasti, että ryhmä keräsi tietoja SafeWalletista, Bybitin käyttämästä moniallekirjoituslompakon tarjoajasta. He saivat luvattoman pääsyn tietojenkalastelusähköpostien kautta.
He käyttivät haitallista koodia päästäkseen sisäiseen verkkoon, naamioiden ulkoiset siirrot sisäisiksi omaisuuserien liikkeiksi. Tämä mahdollisti heille kylmälompakon älysopimuksen hallinnan kaappaamisen.
MSMT totesi, että viime vuosien suurissa hakkeroinneissa Pohjois-Korea suosii usein kolmannen osapuolen palveluntarjoajien kohdistamista pörssien sijaan. Tämä tehdään sen sijaan, että hyökättäisiin itse pörsseihin.
Yhdeksänvaiheinen rahanpesumekanismi
MSMT kuvaili yksityiskohtaisesti yhdeksänvaiheisen rahanpesuprosessin, jota Pohjois-Korea käyttää muuttaakseen varastetut virtuaaliset omaisuuserät fiat-valuutaksi:
1. Hyökkääjät vaihtavat varastetut omaisuuserät kryptovaluutoiksi, kuten ETH:ksi, hajautetussa pörssissä (DEX).
2. He “sekoittavat” varat käyttämällä palveluita kuten Tornado Cash, Wasabi Wallet tai Railgun.
3. He vaihtavat ETH:n BTC:ksi silta-palveluiden kautta.
4. He siirtävät varat kylmälompakkoon keskitettyjen pörssitilien kautta.
5. He hajauttavat omaisuuserät eri lompakoihin toisen sekoituskierroksen jälkeen.
6. He vaihtavat BTC:n TRX:ksi (Tron) silta- ja P2P-kauppojen avulla.
7. He muuttavat TRX:n stablecoin USDT:ksi.
8. He siirtävät USDT:n OTC-välittäjälle.
9. OTC-välittäjä likvidoi omaisuuserät paikalliseksi fiat-valuutaksi.
Global Network helpottaa käteisnostoa
Haastavin vaihe on krypton muuttaminen käytettäväksi fiat-valuutaksi. Tämä saavutetaan käyttämällä OTC-välittäjiä ja rahoitusyhtiöitä kolmansissa maissa, kuten Kiinassa, Venäjällä ja Kambodžassa.
Raportissa mainittiin tiettyjä henkilöitä. Näihin kuuluvat kiinalaiset Ye Dinrong ja Tan Yongzhi Shenzhen Chain Element Network Technologysta sekä P2P-kauppias Wang Yicong.
Heidän väitetään tehneen yhteistyötä pohjoiskorealaisten tahojen kanssa tarjotakseen väärennettyjä henkilötodistuksia ja helpottaakseen omaisuuserien pesua. Venäläiset välittäjät olivat myös osallisina noin 60 miljoonan dollarin likvidoinnissa Bybit-hakkeroinnista.
Lisäksi Huione Pay, Kambodžan Huione Groupin alainen rahoituspalveluntarjoaja, käytettiin rahanpesuun.
“Pohjoiskorealainen kansalainen ylläpiti henkilökohtaista suhdetta Huione Payn yhteistyökumppaneihin ja teki heidän kanssaan yhteistyötä virtuaalisten omaisuuserien rahaksi muuttamiseksi vuoden 2023 lopulla,” MSMT totesi.
MSMT esitti huolensa Kambodžan hallitukselle lokakuussa ja joulukuussa 2024. Huolenaiheet koskivat Huione Payn toimintaa, joka tuki YK:n nimeämiä pohjoiskorealaisia kyberhakkerointiryhmiä. Tämän seurauksena Kambodžan kansallinen pankki kieltäytyi uusimasta Huione Payn maksulupaa; yritys kuitenkin jatkaa toimintaansa maassa.
