شهدت عمليات سرقة العملات المشفرة على مستوى العالم قفزة كبيرة قادها قراصنة مرتبطون بكوريا الشمالية عام 2025، إذ استحوذوا على ما لا يقل عن 2.02 مليار دولار من إجمالي 3.4 مليار دولار تمت سرقتها من مطلع يناير وحتى أوائل ديسمبر، وفقاً لتقرير صدر عن شركة Chainalysis.
ويمثل هذا الرقم زيادة بنسبة 51% مقارنة بعام 2024، حين بلغت قيمة السرقات التي نفذتها الجهات ذاتها نحو 1.3 مليار دولار. وتعد هذه الحصيلة السنوية الأعلى على الإطلاق لما تنفذه كوريا الشمالية من هجمات في هذا المجال، حيث شكلت هذه الهجمات ما نسبته 76% من إجمالي الاختراقات التي استهدفت خدمات العملة الرقمية هذا العام. ومع هذا التصعيد، ارتفع إجمالي ما يقدر أن كوريا الشمالية قد سرقته عبر السنوات إلى نحو 6.75 مليار دولار.
وكان أكبر اختراق منفرد في 2025 قد طال منصة Bybit في فبراير، حيث استولت مجموعة تعرف باسم TraderTraitor، والتي تعرف أيضاً بأسماء Jade Sleet وSlow Pisces، على نحو 1.5 مليار دولار. وتربط تحقيقات منشورة في ديسمبر بين هذا الهجوم وبرمجية ضارة تدعى Lumma Stealer، إضافة إلى استخدام بريد إلكتروني محدد ساعد على تعقب البنية التحتية للهجوم.
وتأتي هذه العمليات ضمن حملة أوسع تنفذها مجموعة Lazarus، المدعومة من مكتب الاستطلاع العام في بيونغ يانغ، وهي نفس المجموعة المتهمة أيضاً بسرقة 36 مليون دولار من منصة Upbit الكورية الجنوبية، في هجوم وقع الشهر الماضي. وبين عامي 2020 و2023، نسبت إلى هذه المجموعة سرقات وصلت إلى أكثر من 200 مليون دولار من 25 عملية على الأقل.
وتتبنى Lazarus أساليب متعددة لجمع الأموال وتحقيق اختراقات، من أبرزها حملة Dream Job التي تستهدف أفراداً في قطاعات الدفاع والصناعات الكيماوية والطيران والتقنية، حيث يتم التواصل معهم عبر LinkedIn وWhatsApp لعرض فرص توظيف وهمية بهدف خداعهم وتنزيل برمجيات خبيثة مثل BURNBOOK وMISTPEN وBADCALL.
كما تلجأ كوريا الشمالية إلى إقحام عمال تقنيين في شركات دولية باستخدام هويات مزيفة أو عبر شركات وهمية مثل DredSoftLabs وMetamint Studio، ضمن عملية تعرف باسم Wagemole، بهدف الوصول إلى صلاحيات واسعة واختراقات نوعية.
وتشير تقديرات Chainalysis إلى أن جزءاً كبيراً من هذا النمو في العمليات يرجع إلى زيادة الاعتماد على هؤلاء العاملين المزيفين في الشركات المختصة بالعملات المشفرة وتقنيات Web3، حيث يسهل ذلك الوصول الأولي والتحرك العرضي داخل الأنظمة قبل تنفيذ السرقة.
أما على مستوى غسل الأموال، فيتبع المهاجمون مساراً منظماً متعدد المراحل على مدى نحو 45 يوماً من تنفيذ الهجوم، يشمل استخدام بروتوكولات DeFi وخدمات خلط العملات، ثم نقل الأموال عبر منصات تداول غير مركزية وجسور متعددة السلاسل مثل XMRt، وصولاً إلى تحويلها إلى أصول تقليدية باستخدام شبكات ناطقة بالصينية وسوق سوداء مثل Huione.
وفي تطور قانوني مرتبط بهذه الأنشطة، حكم على رجل من ولاية ماريلاند، يدعى مينه فونغ نغوك فونغ، بالسجن 15 شهراً بعد أن سمح لمواطنين كوريين شماليين يقيمون في الصين باستخدام هويته للحصول على وظائف في وكالات أمريكية من بينها إدارة الطيران الفيدرالية، مقابل راتب تجاوز 970 ألف دولار.
ويبدو أن الأسلوب ذاته يشهد تحولاً جديداً، إذ تتجه الجهات المرتبطة بكوريا الشمالية لتجنيد متعاونين عبر منصات مثل Upwork وFreelancer، من خلال تقديم عروض مغرية لتنفيذ مشاريع وهمية، ثم الاستيلاء على حساباتهم، بما فيها بيانات التحقق والموقع الجغرافي، مما يمنح المهاجمين حرية الحركة دون إثارة الشكوك.
