Gli hacker nordcoreani infrangono i record e rubano 2,02 miliardi di dollari in criptovalute nel 2025

Gli hacker nordcoreani, i cybercriminali sponsorizzati dal regime canaglia, hanno rubato oltre 2,02 miliardi di dollari in criptovalute da gennaio. Questo ha portato il bottino complessivo della Repubblica Popolare Democratica di Corea (RPDC) a oltre 6 miliardi di dollari.

Secondo il rapporto di Chainalysis, nel 2024 gli hacker hanno rubato altri 681 milioni di dollari, con un aumento del 51% su base annua. Questo ha portato il bottino totaledentderivante dal furto di criptovalute dal 2016 a 6,75 miliardi di dollari. 

Gli hacker nordcoreani cambiano strategia: attacchi meno numerosi ma più ampi

Il rapporto ha rivelato che gli hacker hanno cambiato strategia, optando per un numero inferiore di attacchi, ma di portatamaticmaggiore, come dimostra l'attacco da 1,4 miliardi di dollari subito da Bybit a marzo. Hanno raggiunto questi risultati infiltrando personale IT all'interno di servizi di crittografia per ottenere accesso privilegiato e consentire compromissioni di grande impatto. 

I gruppi nordcoreani prendono di mira principalmente i grandi servizi di crittografia centralizzati, puntando al massimo impatto piuttosto che alla frequenza. Nel 2025, gli attori legati alla RPDC sono stati responsabili del 76% di tutte le compromissioni a livello di servizio, il numero più alto mai registrato.

Gli autori del reato di RPDC hanno dimostrato coerenza nell'operare con piccole tranche inferiori a 500.000 dollari, anziché distribuire i fondi rubati in grandi trasferimenti on-chain, compresi tra 1 e 10 milioni di dollari, a differenza di altri hacker. Questo è segno di una sicurezza operativa sempre più sofisticata.

L'analisi dell'attività post-hacking rivela un modello coerente nel modo in cui questi eventi sono associati al movimento di fondi rubati nell'ecosistema crypto. In seguito a importanti furti avvenuti tra il 2022 e il 2025, i fondi rubati seguono un percorso di riciclaggio strutturato e multi-ondata che si sviluppa nell'arco di circa 45 giorni. Si tratta di una "vedova" che le forze dell'ordine possono utilizzare per intercettare.

Inoltre, i wallet collegati alla RPDC si affidano in larga misura a servizi di garanzia, broker e reti over-the-counter in lingua cinese, nonché a un ampio utilizzo di bridge e servizi di mixing. Evitano ampiamente i protocolli di prestito DeFi , gli exchange decentralizzati e le piattaforme peer-to-peer preferiti da altri criminali. 

Quest'anno, la Corea del Nord ha utilizzato l'intelligenza artificiale nei suoi attacchi informatici. Integra modelli linguistici di grandi dimensioni in quasi ogni fase dei suoi attacchi: ricognizione, phishing, analisi del codice e riciclaggio dei proventi.

Il portafoglio personale registra un calo di oltre il 50%

Nel complesso, il settore delle criptovalute ha subito furti per oltre 3,4 miliardi di dollari da gennaio a inizio dicembre 2025. Ildenttotale di furti è salito a 158.000 nel 2025, quasi il triplo dei 54.000 registrati nel 2022. 

Il numero di vittime nuove e uniche è aumentato da 40.000 nel 2022 ad almeno 80.000 nel 2025. Questo aumento è probabilmente dovuto alla maggiore adozione delle criptovalute. Ad esempio, Solana, una delle blockchain con il maggior numero di wallet personali attivi, era in testa con 26.500 vittime.

Misurando i tassi di criminalità per 100.000 wallet nel 2025, Ethereum e Tron mostrano i tassi di furto più elevati. Le grandi dimensioni di Ethereumsi riflettono sia negli alti tassi di furto che nell'elevato numero di vittime. D'altro canto, sebbene abbia una base di wallet attivi più piccola, la posizione di Tronmostra un tasso di furto elevato.

Le compromissioni dei portafogli personali sono aumentate da appena il 7,3% del valore totale rubato nel 2022 al 44% nel 2024. Nel 2025, rappresentano il 20% del valore totale rubato. L'importo totale rubato alle singole vittime è sceso dal picco di 1,5 miliardi di dollari del 2024 a 713 milioni di dollari nel 2025. Tuttavia, la quota sarebbe stata del 37% se non fosse stato per l'impatto smisurato dell'attacco Bybit.

I servizi centralizzati hanno subito ingenti perdite a causa della compromissione delle chiavi private. Queste piattaforme rimangono vulnerabili a causa di questa sfida per la sicurezza. Sebbene tali compromissioni siano rare, la loro portata determina comunque una quota significativa di volumi rubati quando si verificano. Ad esempio, hanno rappresentato l'88% delle perdite nel primo trimestre del 2025.

Per la prima volta, il rapporto tra l'attacco più grave e quello di media entità ha superato quota 1.000. La quantità di denaro rubata negli attacchi più gravi è ora 1.000 volte superiore a quella del caso medio. È persino superiore al picco del mercato rialzista del 2021. I tre attacchi più gravi del 2025 rappresentano il 69% di tutte le perdite di servizi.