Bagong Ulat Ibinunyag ang Nakababahalang Lawak ng mga Crypto Hacker ng North Korea

Ayon sa isang ulat na inilabas ng Multilateral Sanctions Monitoring Team (MSMT), ang mga hacker na konektado sa North Korea ay nagnakaw ng napakalaking $2.83 billion sa mga virtual asset mula 2024 hanggang Setyembre 2025.

Binibigyang-diin ng ulat na ang Pyongyang ay hindi lamang mahusay sa pagnanakaw kundi nagtataglay din ng mga sopistikadong paraan para mailiquidate ang mga ilegal na kinita.

Kita mula sa Hacking ang Nagpapalakas ng Isang-Katlo ng Foreign Currency ng Bansa

Ang MSMT ay isang multinational coalition ng 11 bansa, kabilang ang US, South Korea, at Japan. Ito ay itinatag noong Oktubre 2024 upang suportahan ang pagpapatupad ng UN Security Council sanctions laban sa North Korea.

Ayon sa MSMT, ang $2.83 billion na ninakaw mula 2024 hanggang Setyembre 2025 ay isang kritikal na bilang.

“Ang kita ng North Korea mula sa virtual asset theft noong 2024 ay umabot sa humigit-kumulang isang-katlo ng kabuuang foreign currency income ng bansa,” ayon sa team.

Ang lawak ng pagnanakaw ay biglang lumaki, na may $1.64 billion na ninakaw sa 2025 pa lamang, na kumakatawan sa higit 50% na pagtaas mula sa $1.19 billion na nakuha noong 2024, kahit hindi pa kasama ang huling quarter ng 2025.

Ang Bybit Hack at ang TraderTraitor Syndicate

Kinilala ng MSMT ang hacking noong Pebrero 2025 sa global exchange na Bybit bilang pangunahing dahilan ng pagtaas ng ilegal na kita noong 2025. Ang pag-atake ay iniuugnay sa TraderTraitor, isa sa pinaka-sopistikadong hacking organization ng North Korea.

Ipinakita ng imbestigasyon na ang grupo ay nangalap ng impormasyon kaugnay ng SafeWallet, ang multi-signature wallet provider na ginagamit ng Bybit. Nakakuha sila ng hindi awtorisadong access sa pamamagitan ng phishing emails.

Gumamit sila ng malicious code upang makapasok sa internal network, na nagkukunwaring internal asset movements ang external transfers. Dahil dito, nakuha nila ang kontrol sa smart contract ng cold wallet.

Napansin ng MSMT na sa mga malalaking hack nitong nakaraang dalawang taon, mas pinipili ng North Korea na targetin ang mga third-party service provider na konektado sa exchanges, sa halip na mismong exchanges ang atakihin.

Ang Siyam na Hakbang na Mekanismo ng Paglalaba ng Pera

Detalyado ng MSMT ang masusing siyam na hakbang na proseso ng paglalaba ng North Korea upang gawing fiat currency ang mga ninakaw na virtual asset:

1. Ipinagpapalit ng mga attacker ang ninakaw na asset para sa mga cryptocurrency tulad ng ETH sa isang Decentralized Exchange (DEX).

2. ‘Hinahalo’ nila ang pondo gamit ang mga serbisyo tulad ng Tornado Cash, Wasabi Wallet, o Railgun.

3. Kinokonvert nila ang ETH sa BTC sa pamamagitan ng bridge services.

4. Inililipat nila ang pondo sa cold wallet matapos dumaan sa mga centralized exchange account.

5. Ipinapamahagi nila ang mga asset sa iba’t ibang wallet matapos ang pangalawang round ng mixing.

6. Ipinagpapalit nila ang BTC para sa TRX (Tron) gamit ang bridge at P2P trades.

7. Kinokonvert nila ang TRX sa stablecoin na USDT.

8. Inililipat nila ang USDT sa isang Over-the-Counter (OTC) broker.

9. Nililiquidate ng OTC broker ang mga asset sa lokal na fiat currency.

Pandaigdigang Network ang Nagpapadali ng Cash-Out

Ang pinaka-mahirap na yugto ay ang pag-convert ng crypto sa magagamit na fiat. Ito ay isinasagawa gamit ang mga OTC broker at mga financial company sa mga third-party na bansa, kabilang ang China, Russia, at Cambodia.

Pinangalanan ng ulat ang ilang partikular na indibidwal. Kabilang dito ang mga Chinese national na sina Ye Dinrong at Tan Yongzhi ng Shenzhen Chain Element Network Technology at P2P trader na si Wang Yicong.

Sila umano ay nakipagtulungan sa mga entidad ng North Korea upang magbigay ng pekeng ID at magpadali ng asset laundering. Ang mga Russian intermediary ay nasangkot din sa pagli-liquidate ng humigit-kumulang $60 million mula sa Bybit hack.

Dagdag pa rito, ang Huione Pay, isang financial service provider sa ilalim ng Huione Group ng Cambodia, ay ginamit para sa laundering.

“Isang North Korean national ang nagpanatili ng personal na relasyon sa mga kasamahan sa Huione Pay at nakipagtulungan sa kanila upang i-cash out ang mga virtual asset noong huling bahagi ng 2023,” ayon sa MSMT.

Inilahad ng MSMT ang kanilang mga alalahanin sa pamahalaan ng Cambodia noong Oktubre at Disyembre 2024. Ang mga alalahaning ito ay kaugnay ng mga aktibidad ng Huione Pay na sumusuporta sa mga UN-designated North Korean cyber hacker. Bilang resulta, tinanggihan ng National Bank of Cambodia na i-renew ang payment license ng Huione Pay; gayunpaman, patuloy pa rin ang operasyon ng kumpanya sa bansa.