ตามรายงานที่เผยแพร่โดยทีมเฝ้าระวังการคว่ำบาตรพหุภาคี (MSMT) แฮกเกอร์ที่เชื่อมโยงกับเกาหลีเหนือได้ขโมยสินทรัพย์เสมือนมูลค่ามหาศาลถึง 2.83 พันล้าน USD ระหว่างปี 2024 ถึงกันยายน 2025
รายงานเน้นว่าเปียงยางไม่เพียงแต่เก่งในการขโมยเท่านั้น แต่ยังมีวิธีการที่ซับซ้อนในการแปลงผลกำไรที่ได้มาอย่างผิดกฎหมายอีกด้วย
Sponsoredรายได้จากการแฮ็กเป็นหนึ่งในสามของเงินตราต่างประเทศของประเทศ
MSMT เป็นกลุ่มพันธมิตรระหว่างประเทศ 11 ประเทศ รวมถึงสหรัฐอเมริกา เกาหลีใต้ และญี่ปุ่น ก่อตั้งขึ้นในเดือนตุลาคม 2024 เพื่อสนับสนุนการดำเนินการคว่ำบาตรของคณะมนตรีความมั่นคงแห่งสหประชาชาติต่อเกาหลีเหนือ
ตามข้อมูลของ MSMT จำนวน 2.83 พันล้าน USD ที่ถูกขโมยระหว่างปี 2024 ถึงกันยายน 2025 เป็นตัวเลขที่สำคัญ
รายได้จากการขโมยสินทรัพย์เสมือนของเกาหลีเหนือในปี 2024 คิดเป็นประมาณหนึ่งในสามของรายได้สกุลเงินต่างประเทศทั้งหมดของประเทศ ทีมงาน ระบุ
ขนาดของ การขโมยได้เพิ่มขึ้นอย่างรวดเร็ว โดยในปี 2025 เพียงปีเดียวมีการขโมยถึง 1.64 พันล้าน USD ซึ่งเพิ่มขึ้นกว่า 50% จาก 1.19 พันล้าน USD ในปี 2024 แม้ว่าตัวเลขในปี 2025 จะไม่รวมไตรมาสสุดท้าย
Sponsored Sponsoredการแฮ็ก Bybit และกลุ่ม TraderTraitor
MSMT ระบุว่าการแฮ็ก Bybit ในเดือนกุมภาพันธ์ 2025 เป็นปัจจัยสำคัญที่ทำให้รายได้ผิดกฎหมายเพิ่มขึ้นในปี 2025 การโจมตีนี้ถูกระบุว่าเป็นฝีมือของ TraderTraitor หนึ่งในองค์กรแฮ็กที่ซับซ้อนที่สุดของเกาหลีเหนือ
การสืบสวนพบว่ากลุ่มนี้ได้รวบรวมข้อมูลที่เกี่ยวข้องกับ SafeWallet ผู้ให้บริการกระเป๋าเงินหลายลายเซ็นที่ Bybit ใช้ จากนั้นพวกเขาเข้าถึงโดยไม่ได้รับอนุญาตผ่านอีเมลฟิชชิ่ง
พวกเขาใช้โค้ดที่เป็นอันตรายเพื่อเข้าถึงเครือข่ายภายใน โดยปลอมแปลงการโอนภายนอกเป็นการเคลื่อนย้ายสินทรัพย์ภายใน ทำให้พวกเขาสามารถควบคุมสัญญาอัจฉริยะของกระเป๋าเงินเย็นได้
MSMT ระบุว่าในการแฮ็กครั้งใหญ่ในช่วงสองปีที่ผ่านมา เกาหลีเหนือมักจะเลือก โจมตีผู้ให้บริการบุคคลที่สามที่เชื่อมต่อกับการแลกเปลี่ยน มากกว่าที่จะ โจมตีการแลกเปลี่ยนเอง
Sponsored Sponsoredกลไกฟอกเงินเก้าขั้นตอน
MSMT ได้อธิบายกระบวนการฟอกเงินเก้าขั้นตอนที่ละเอียดอ่อนที่เกาหลีเหนือใช้ในการแปลงสินทรัพย์เสมือนที่ถูกขโมยเป็นสกุลเงินเฟียต
1. ผู้โจมตีแลกเปลี่ยนสินทรัพย์ที่ถูกขโมยเป็นสกุลเงินดิจิทัลเช่น ETH บน Decentralized Exchange (DEX).
2. พวกเขา ‘ผสม’ เงินโดยใช้บริการเช่น Tornado Cash, Wasabi Wallet, หรือ Railgun.
3. พวกเขาแปลง ETH เป็น BTC ผ่านบริการสะพาน.
4. พวกเขาย้ายเงินไปยัง cold wallet หลังจากผ่านบัญชีแลกเปลี่ยนแบบรวมศูนย์.
5. พวกเขากระจายสินทรัพย์ไปยังกระเป๋าเงินต่างๆ หลังจากการผสมรอบที่สอง.
6. พวกเขาแลกเปลี่ยน BTC เป็น TRX (Tron) โดยใช้สะพานและการซื้อขาย P2P.
7. พวกเขาแปลง TRX เป็น stablecoin USDT.
8. พวกเขาโอน USDT ไปยังนายหน้าซื้อขาย Over-the-Counter (OTC).
9. นายหน้า OTC แปลงสินทรัพย์เป็นสกุลเงินท้องถิ่น.
เครือข่ายทั่วโลกช่วยให้ถอนเงินสดได้
ขั้นตอนที่ท้าทายที่สุดคือการแปลงคริปโตเป็นสกุลเงินที่ใช้งานได้ ซึ่งทำได้โดยใช้โบรกเกอร์ OTC และบริษัทการเงินในประเทศที่สาม เช่น จีน รัสเซีย และกัมพูชา.
Sponsoredรายงานระบุชื่อบุคคลเฉพาะ ซึ่งรวมถึงชาวจีน Ye Dinrong และ Tan Yongzhi จาก Shenzhen Chain Element Network Technology และผู้ค้าขาย P2P Wang Yicong.
พวกเขาถูกกล่าวหาว่าร่วมมือกับหน่วยงานเกาหลีเหนือเพื่อให้บัตรประจำตัวปลอมและ อำนวยความสะดวกในการฟอกสินทรัพย์. ตัวกลางรัสเซียก็มีส่วนเกี่ยวข้องในการแปลงสินทรัพย์ประมาณ 60 ล้าน USD จากการแฮ็ก Bybit.
นอกจากนี้ Huione Pay ซึ่งเป็นผู้ให้บริการทางการเงินภายใต้ Huione Group ของกัมพูชา ถูกใช้ในการฟอกเงิน.
ชาวเกาหลีเหนือรายหนึ่งมีความสัมพันธ์ส่วนตัวกับผู้ร่วมงานของ Huione Pay และร่วมมือกับพวกเขาในการแปลงสินทรัพย์เสมือนในปลายปี 2023, MSMT กล่าว.
MSMT ได้แสดงความกังวลกับรัฐบาลกัมพูชาในเดือนตุลาคมและธันวาคม 2024 เกี่ยวกับกิจกรรมของ Huione Pay ที่สนับสนุนแฮ็กเกอร์ไซเบอร์เกาหลีเหนือที่ถูกกำหนดโดย UN. ผลที่ตามมาคือ ธนาคารแห่งชาติกัมพูชาปฏิเสธที่จะต่ออายุใบอนุญาตการชำระเงินของ Huione Pay; อย่างไรก็ตาม บริษัทก็ยังคงดำเนินการในประเทศ.
