Nordkoreas Cyberoperationer och Kryptovaluta
Nordkorea förlitar sig på statligt stödda hackargrupper, såsom Lazarus, för att finansiera sin militär. Stulen kryptovaluta står för nästan en tredjedel av landets utländska valutaintäkter och ger ett stabilt, olagligt kassaflöde som är immunt mot traditionella sanktioner.
Kryptovaluta-stölder och Deras Omfattning
I en rapport från den 22 oktober uppgav Multilateral Sanctions Monitoring Team att nordkoreanska aktörer mellan januari 2024 och september 2025 orkestrerade kryptovaluta-stölder som totalt uppgick till minst $2,8 miljarder. Dessa stölder genomfördes av statligt stödda hackargrupper och cyberaktörer som riktade sig mot den digitala tillgångssektorn.
”Den största delen av bytet kom från stora incidenter, inklusive utnyttjandet av Bybit i februari 2025, som ensam stod för ungefär hälften av det totala.”
Metoder och Tekniker
Rapporten tillskriver dessa utnyttjanden välkända nordkoreanska hotaktörer som använder sofistikerade metoder för leveranskedjor, social ingenjörskonst och plånboks-kompromisser. Nordkoreas kryptovalutaoperationer kretsar kring ett tätt ekosystem av statligt kopplade hackargrupper, främst Lazarus, Kimsuky, TraderTraitor och Andariel, vars fingeravtryck syns i nästan varje större digital tillgångsbrott under de senaste två åren.
Enligt cybersäkerhetsanalytiker verkar dessa team under Reconnaissance General Bureau, Pyongyangs primära underrättelseorgan, och koordinerar attacker som efterliknar den privata sektorns effektivitet. Deras främsta innovation har varit att helt kringgå börser och istället rikta in sig på tredjeparts digitala tillgångsförvaringsleverantörer som börser använder för säker lagring.
Exempel på Stora Stölder
Genom att kompromettera infrastruktur från företag som Safe(Wallet), Ginco och Liminal Custody fick nordkoreanska aktörer en masternyckel för att stjäla medel från kunder, inklusive Bybit, Japans DMM Bitcoin och Indiens WazirX. Attacken mot DMM Bitcoin, som ledde till en förlust på $308 miljoner och börsens slutliga stängning, initierades månader tidigare när en TraderTraitor-aktör, som utgav sig för att vara rekryterare på LinkedIn, lurade en Ginco-anställd att öppna en skadlig fil som var maskerad som ett för-intervju test.
Tvättprocessen av Stulna Tillgångar
När de väl har stulits går de digitala tillgångarna in i en komplex, nio-stegs tvättprocess som är utformad för att dölja deras ursprung och konvertera dem till användbar fiatvaluta. DPRK:s cyberaktörer byter systematiskt stulna tokens mot etablerade kryptovalutor som Ethereum eller Bitcoin, och använder sedan en uppsättning blandningstjänster, inklusive Tornado Cash och Wasabi Wallet.
De utnyttjar sedan cross-chain-bryggor och aggregatorer som THORChain och LI.FI för att hoppa mellan blockkedjor, ofta konvertera de blandade tillgångarna till Tron-baserad USDT för att förbereda dem för uttag. Utredare har rapporterat att hela denna operation hänger på ett nätverk av över-disk mäklare, främst i Kina, som accepterar den tvättade USDT och sätter in motsvarande fiatvaluta på DPRK-kontrollerade bankkonton via kinesiska UnionPay-kort.
Konsekvenser av Digital Stöld
Denna oförtrutna kampanj av digital stöld har direkta och allvarliga konsekvenser i den verkliga världen. De miljarder som har siphonats från kryptovalutaekosystemet försvinner inte in i ett byråkratiskt tomrum. MSMT-rapporten drar slutsatsen att denna intäktsström är avgörande för att skaffa material och utrustning för DPRK:s olagliga massförstörelsevapen och ballistiska missilprogram.
Genom att tillhandahålla ett massivt, olagligt kassaflöde som är immunt mot traditionella finansiella sanktioner har den globala kryptovalutaindustrin blivit ett vapen och en oreglerad och ovillig finansiär av Pyongyangs militära ambitioner. Inbrotten är inte bara brott för vinst; de är handlingar av statlig politik som finansierar en militär uppbyggnad som hotar global säkerhet.
