سرقت ۲.۸ میلیارد دلاری از رمزارزهای کره شمالی؛ تامین مالی برنامه‌های نظامی و تهدید جهانی

کره شمالی برای تامین مالی برنامه‌های نظامی خود، به گروه‌های هک وابسته به دولت مانند لازاروس (Lazarus) متکی است. بر اساس گزارش تیم نظارت بر تحریم‌های چندجانبه، میزان رمزارزهای سرقت‌شده توسط این گروه‌ها در بازه زمانی ژانویه ۲۰۲۴ تا سپتامبر ۲۰۲۵ به حدود ۲.۸ میلیارد دلار رسیده است. این سرقت‌ها بخش قابل توجهی از درآمد ارزی خارجی کشور را تشکیل می‌دهد و جریان نقدی غیرقانونی و پایدار را فراهم می‌کند که در برابر تحریم‌های سنتی مقاوم است.

در این گزارش، بیشتر سرقت‌ها از طریق حملات بزرگ، مانند نفوذ به پلتفرم بای‌بیت (Bybit) در فوریه ۲۰۲۵، صورت گرفته است. این حمله به تنهایی تقریباً نیمی از مجموع سرقت‌ها را شامل می‌شود. تیم نظارت بر تحریم‌ها تأکید می‌کند که این حملات اغلب توسط بازیگران تهدیدشناخته‌شده کره شمالی، با بهره‌گیری از روش‌های پیچیده در زنجیره تامین، مهندسی اجتماعی و نفوذ به کیف‌پول‌ها انجام شده است.

تسلح کره‌شمالی در سرقت و فریبکاری پیشرفته

عملیات رمزارزی کره شمالی بر پایه شبکه‌ای منسجم از گروه‌های هکر وابسته به دولت استوار است که در رأس آن‌ها گروه «لازاروس» (Lazarus)، «کیم‌ساکی» (Kimsuky)، «تریدرترایتر» (TraderTraitor) و «انداریل» (Andariel) قرار دارند. این گروه‌ها در طی دو سال گذشته در اغلب حملات بزرگ به دارایی‌های دیجیتال نقش‌آفرینی کرده‌اند و ردپای آن‌ها در بسیاری از نفوذهای مهم دیده می‌شود.

بر اساس تحلیل‌های نهادهای امنیت سایبری، این تیم‌ها تحت نظر اداره اطلاعات و امنیت عمومی کره شمالی، یا همان «بنیاد اطلاعاتی reconnaissance»، فعالیت می‌کنند و حملاتی را با بهره‌گیری از فناوری‌های پیشرفته و کارآمد در بخش خصوصی انجام می‌دهند. یکی از نوآوری‌های مهم آنان، هدف قرار دادن ارائه‌دهندگان خدمات نگهداری دارایی‌های دیجیتال ثالث است که معمولاً توسط صرافی‌ها برای ذخیره امن دارایی‌های کاربران مورد استفاده قرار می‌گیرند.

با نفوذ به زیرساخت‌های شرکت‌هایی مانند Safe(Wallet)، Ginco و Liminal Custody، هکرهای کره شمالی توانسته‌اند کلیدهای اصلی برای سرقت وجوه مشتریان، از جمله کاربران پلتفرم‌هایی مانند بای بیت (Bybit)، دمی‌بی‌ت‌کوین (DMM Bitcoin) ژاپن و وازی‌ری‌ایکس (WazirX) هند، به دست آورند.

حمله به دمی‌بی‌ت‌کوین، که منجر به از دست رفتن حدود ۳۰۸ میلیون دلار و تعطیلی این صرافی شد، چند ماه قبل‌تر با فریب یک کاربر Ginco آغاز شد. در این عملیات، یک عامل TraderTraitor با استفاده از پروفایل در لینکدین، کارمند Ginco را فریب داد و او را وادار به باز کردن فایل مخرب کرد که به شکل یک آزمون پیش‌مصاحبه طراحی شده بود.

علاوه بر این، گروه‌های دولتی دیگری نیز در کنار این عملیات اصلی فعالیت می‌کنند. جمعیت «کریپتوکور» (CryptoCore)، هرچند سطح فناوری آن‌ها پایین‌تر است، اما در حوزه حملات مهندسی اجتماعی حجم زیادی عملیات انجام می‌دهند، با جعل هویت‌های مدیران و مدیران اجرایی برای نفوذ به اهداف.

در همین حال، گروه «سیتاین سلیت» (Citrine Sleet) در توسعه و توزیع نرم‌افزارهای تروجان برای تجارت رمزارز شهرت یافته است. در یک مورد مشخص در اکتبر ۲۰۲۴، یک عامل این گروه با جعل هویت یک پیمانکار سابق مورد اعتماد در تلگرام، فایل ZIP مخرب را به یک توسعه‌دهنده در Radiant Capital ارسال کرد که منجر به سرقت حدود ۵۰ میلیون دلار شد.

شواهد پولشویی به کره‌شمالی منتهی می‌شود

پس از سرقت، دارایی‌های دیجیتال وارد فرآیند پیچیده‌ای شامل نه مرحله‌ی پولشویی می‌شوند که هدف آن‌ها مخفی کردن منبع و تبدیل این دارایی‌ها به پول نقد فیات است. عوامل سایبری کره‌شمالی (دریای جمهوری دموکراتیک کره) با بهره‌گیری از روش‌های سیستماتیک، توکن‌های سرقت‌شده را به ارزهای دیجیتال معتبر مانند اتریوم (Ethereum) و بیت‌کوین (Bitcoin) تبدیل می‌کنند و سپس از خدمات میکس مانند Tornado Cash و Wasabi Wallet برای مخفی‌سازی تراکنش‌ها استفاده می‌نمایند.

در مرحله بعد، این گروه‌ها از پل‌های زنجیره‌ای و تجمیع‌کننده‌هایی نظیر THORChain و LI.FI بهره می‌برند تا بین بلاک‌چین‌های مختلف جابه‌جا شوند و اغلب دارایی‌های مخلوط‌شده را به USDT مبتنی بر ترون (Tron) تبدیل می‌کنند تا برای نقد کردن آماده شوند. محققان اعلام کرده‌اند که این عملیات گسترده بر شبکه‌ای از کارگزاران OTC، عمدتاً در چین، تکیه دارد که USDTهای پولشویی‌شده را می‌پذیرند و معادل فیات آن را از طریق کارت‌های UnionPay چینی به حساب‌های بانکی کنترل‌شده توسط کره‌شمالی واریز می‌کنند.

این حمله بی‌وقفه در دنیای دیجیتال، تبعات جدی و مستقیم در دنیای واقعی دارد. میلیاردها دلار که از اکوسیستم رمزارزها سرقت می‌شود، در واقع به هدر نمی‌رود بلکه برای تامین مواد و تجهیزات برنامه‌های موشکی و سلاح‌های کشتار جمعی کره‌شمالی به کار می‌رود. گزارش MSMT تأکید دارد که این منبع درآمد غیرقانونی، برای کره‌شمالی حیاتی است و با ارائه جریان عظیم نقدینگی، به‌طور غیرقابل‌ردیابی تحریم‌های مالی سنتی را دور می‌زند.

بدین ترتیب، صنعت رمزارز جهانی به ابزاری برای تامین مالی فعالیت‌های نظامی پیونگ‌یانگ تبدیل شده است. این سرقت‌ها نه تنها جرایم اقتصادی، بلکه اقدامات سیاست‌گذاری دولت‌ها محسوب می‌شوند که به‌منظور تقویت توان نظامی و تهدید امنیت جهانی صورت می‌گیرند.

منبع: کریپتو.نیوز