Ifølge en rapport udgivet af Multilateral Sanctions Monitoring Team (MSMT), stjal Nordkorea-relaterede hackere svimlende 2,83 milliarder dollars i virtuelle aktiver mellem 2024 og september 2025.
Rapporten understreger, at Pyongyang ikke kun er dygtig til tyveri, men også besidder sofistikerede metoder til at afvikle de ulovlige gevinster.
Hacking indtægter driver en tredjedel af nationens udenlandske valuta
MSMT er en multinational koalition af 11 lande, herunder USA, Sydkorea og Japan. Den blev etableret i oktober 2024 for at støtte implementeringen af FN’s Sikkerhedsråds sanktioner mod Nordkorea.
Ifølge MSMT er de 2,83 milliarder dollars stjålet fra 2024 til september 2025 en kritisk måling.
“Nordkoreas virtuelle aktivtyveri i 2024 udgjorde cirka en tredjedel af landets samlede indkomst i udenlandsk valuta,” noterede teamet.
Omfanget af tyveriet er accelereret dramatisk, med 1,64 milliarder dollars stjålet alene i 2025, hvilket repræsenterer en stigning på over 50% fra de 1,19 milliarder dollars taget i 2024, på trods af at 2025-tallet ikke inkluderer det sidste kvartal.
Bybit-hacket og TraderTraitor-syndikatet
MSMT identificerede februar 2025-hacket af den globale børs Bybit som en væsentlig bidragyder til stigningen i ulovlige indtægter i 2025. Angrebet blev tilskrevet TraderTraitor, en af Nordkoreas mest sofistikerede hackerorganisationer.
Undersøgelsen afslørede, at gruppen indsamlede information relateret til SafeWallet, den multi-signatur wallet-udbyder, der blev brugt af Bybit. De fik derefter uautoriseret adgang via phishing-e-mails.
De anvendte ondsindet kode til at få adgang til det interne netværk, hvor de forklædte eksterne overførsler som interne aktivbevægelser. Dette tillod dem at overtage kontrollen over den kolde wallets smart contract.
MSMT bemærkede, at i større hacks over de seneste to år, foretrækker Nordkorea ofte at målrette tredjeparts serviceudbydere forbundet til børser. Dette gøres i stedet for at angribe børserne selv.
Den ni-trins hvidvaskningsmekanisme
MSMT beskrev en omhyggelig ni-trins hvidvaskningsproces, som Nordkorea bruger til at konvertere de stjålne virtuelle aktiver til fiat-valuta:
1. Angriberne bytter stjålne aktiver til kryptovalutaer som ETH på en Decentralized Exchange (DEX).
2. De ‘blander’ midlerne ved hjælp af tjenester som Tornado Cash, Wasabi Wallet eller Railgun.
3. De konverterer ETH til BTC via brotjenester.
4. De flytter midlerne til en kold wallet efter at have passeret gennem centraliserede børs konti.
5. De spreder aktiverne til forskellige wallets efter en anden runde af blanding.
6. De bytter BTC til TRX (Tron) ved hjælp af bro- og P2P-handler.
7. De konverterer TRX til stablecoin USDT.
8. De overfører USDT til en Over-the-Counter (OTC) mægler.
9. OTC-mægleren afvikler aktiverne til lokal fiat-valuta.
Globalt netværk muliggør udbetaling
Den mest udfordrende fase er at konvertere krypto til brugbar fiat. Dette opnås ved hjælp af OTC-mæglere og finansielle virksomheder i tredjelande, herunder Kina, Rusland og Cambodja.
Rapporten nævnte specifikke personer. Disse inkluderer de kinesiske statsborgere Ye Dinrong og Tan Yongzhi fra Shenzhen Chain Element Network Technology og P2P-handler Wang Yicong.
De samarbejdede angiveligt med nordkoreanske enheder for at levere bedrageriske ID’er og lette aktivhvidvaskning. Russiske mellemled var også involveret i afviklingen af cirka 60 millioner dollars fra Bybit-hacket.
Desuden blev Huione Pay, en finansiel tjenesteudbyder under Cambodjas Huione Group, brugt til hvidvaskning.
“En nordkoreansk statsborger opretholdt en personlig relation med Huione Pay-associerede og samarbejdede med dem for at udbetale virtuelle aktiver i slutningen af 2023,” udtalte MSMT.
MSMT rejste bekymringer over for den cambodjanske regering i oktober og december 2024. Disse bekymringer vedrørte Huione Pays aktiviteter, der støttede FN-udpegede nordkoreanske cyberhackere. Som et resultat nægtede National Bank of Cambodia at forny Huione Pays betalingslicens; men virksomheden fortsætter med at operere i landet.
