Den 7. august 2025 dømte det amerikanske justitsministerium Tornado Cash medstifter Roman Storm for at drive en uautoriseret pengeoverførselsvirksomhed. Sagen, der ses som et opgør mod krypto-mixerinfrastruktur, påvirker direkte hackergruppers hvidvaskningsnetværk.
Uger senere, den 26. august, bekræftede FBI, at Lazarus-gruppen stod bag det 1,5 milliarder dollars store Bybit-hack — det største tyveri i kryptohistorien.
“Nordkoreanske hacks” strækker sig over globale markeder
Hvorfor vigtigt
Bybit-bruddet og Tornado Cash-dommen fremhæver, hvordan cyberkriminalitet og regulering kolliderer. For investorer og børser handler det ikke kun om stjålne aktiver — det handler om stigende overholdelsesomkostninger, strammere tilsyn og opfattelsen af, at krypto er gået fra en finansiel risiko til et nationalt sikkerhedsspørgsmål.
2025 YTD personlige wallet-ofre efter land | Chainalysis
Seneste opdatering
FBI’s bekræftelse af Bybit-tyveriet og DOJ’s dom over Tornado Cash’s medstifter markerer et vendepunkt. Myndighederne forfølger nu både hackerne og infrastrukturen, der hvidvasker deres udbytte. Desuden signalerer regulatorer, at håndhævelsen vil udvides til at dække både gerningsmænd og medvirkende i hele branchen.
Baggrundskontekst
Siden 2017 har Lazarus-gruppen, en ukendt hackergruppe, der angiveligt drives af den nordkoreanske regering, målrettet banker og kryptobørser for at generere midler. Fortællingen om dens oprindelse stammer fra det faktum, at fordi internationale sanktioner begrænsede handel, drejede Pyongyang mod cybertyveri. I 2025 accelererede tempoet med angreb, der spænder over Asien, USA og Europa. Samtidig kæmpede globale retshåndhævende myndigheder for at følge med angrebenes hastighed.
Et år med eskalering
Dybdegående analyse
Bølgen begyndte i maj, da Taiwans BitoPro-børs mistede omkring 11,5 millioner dollars. I juni indgav DOJ en konfiskationssag for at beslaglægge 7,74 millioner dollars knyttet til hvidvaskningsordninger. Senere samme måned blev fire nordkoreanske statsborgere anklaget i Georgia for at infiltrere amerikanske virksomheder som IT-kontraktører og stjæle næsten 900.000 dollars. I mellemtiden bemærkede efterforskere, at dette var en del af et bredere mønster snarere end isolerede tilfælde.
En TRM Labs rapport anslog, at Nordkorea stjal 1,6 milliarder dollars i første halvdel af 2025, hvilket udgør omkring 70 procent af global kryptokriminalitet. I juni advarede Financial Action Task Force om, at Nordkorea udgjorde den mest alvorlige statsbaserede trussel mod integriteten af kryptomarkederne. Udover det begyndte regulatorer verden over at gennemgå licensrammer mere aggressivt.
“Med over 2,17 milliarder dollars stjålet fra kryptovalutatjenester indtil videre i 2025, er dette år mere ødelæggende end hele 2024. DPRK’s 1,5 milliarder dollars hack af Bybit, det største enkeltstående hack i kryptohistorien, står for størstedelen af tjenestetabene.” — Chainalysis
Hidden Tactics Exposed
Bag kulisserne
En Wired-undersøgelse afslørede over 1.000 e-mailkonti knyttet til nordkoreanske IT-arbejdere ansat eksternt af vestlige virksomheder. Lønninger blev flyttet til kryptowallets og derefter hvidvasket gennem mixere og cross-chain swaps. Denne “dobbelte strategi” — stabile indtægter fra IT-job plus store gevinster fra børsangreb — giver Pyongyang holdbare finansieringsstrømme. Desuden observerede eksperter, at denne kombination tillader regimet at balancere pålidelige indtægter med lejlighedsvise milliardgevinster.
Nordkoreanske operatører har også opgraderet deres værktøjskasse. Som BeInCrypto rapporterede, kombinerer de nu avanceret social engineering med zero-day exploits. Dermed stiger deres succesrater, selv mod platforme, der engang blev anset for sikre.
Bredere indvirkning
Disse hændelser har rystet tilliden til branchen. Europæiske børser rapporterer højere overholdelsesomkostninger, mens Sydkorea har udvidet blockchain-forensik. FATF-advarslen fik flere regeringer til at stramme licensrammerne. Dermed er tilsynet skiftet fra en finansiel til en sikkerhedsmæssig vinkel — en ændring, der direkte påvirker investorer og platforme.
Militære afledningsrisici og politiske reaktioner
Væsentlige fakta
• Nordkorea stjal 1,6 milliarder dollars i H1 2025 (TRM Labs).
• Bybit-hacket alene kostede 1,5 milliarder dollars (FBI).
• BitoPro mistede 11,5 millioner dollars (Yahoo citerer BitoPro).
• DOJ indgav en konfiskationssag på 7,74 millioner dollars (DOJ).
• Fire statsborgere anklaget for tyveri på 900.000 dollars (DOJ).
• FN-observatører rapporterede, at cyberudbytte finansierer våbenprogrammer.
Fremadrettet
Embedsmænd advarer om, at Pyongyang tester decentraliseret finans og privatlivs-coins. Dermed forventer analytikere nye sanktioner mod mixere, forvaltningswallets og likviditetspuljer. Uden koordinering vil håndhævelseshuller udvide sig, hvilket efterlader investorer udsatte.
Dataopdeling
| Dato | Begivenhed | Beløb | Kilde |
|---|---|---|---|
| 9. maj 2025 | BitoPro hack (Taiwan) | $11.5M | Yahoo News |
| 5. juni 2025 | DOJ beslaglæggelsesaktion | $7.74M | DOJ |
| 30. juni 2025 | DOJ tiltale (4 statsborgere) | $0.9M | DOJ |
| Juni 2025 | FATF advarsel | N/A | ICBA |
| Maj 2025 | IT-arbejder skema afsløret | N/A | Wired |
| 7. aug 2025 | Tornado Cash dom | N/A | DOJ |
| 26. aug 2025 | Bybit hack | $1.5B | FBI |
| H1 2025 | Globalt tyveri i alt | $2.17B | Chainalysis |
Fra tidligere kup til dagens dominans
Mellem 2017 og 2022 estimerede FN-paneler, at Pyongyang, inklusive Lazarus Group, genererede omkring $2 milliarder gennem cybertyveri. I 2024 repræsenterede Nordkorea næsten en tredjedel af global kryptokriminalitet. I 2025 udvidede deres dominans sig dramatisk, hvilket drev de fleste store kup. Desuden viser skiftet fra opportunistiske hacks til systematiske kampagner regimets voksende sofistikering.
Mulige risici
Sanktioner kan strammes, men peer-to-peer transaktioner i nye økonomier skaber blinde vinkler. Dermed vil DPRK sandsynligvis dreje mod decentrale korridorer. Dette indebærer vedvarende likviditetsrisici, højere regulatoriske omkostninger og potentielle pludselige markedsbegrænsninger for investorer.
Ekspertudtalelser
“Cyberkriminelle aktiviteter genererer omkring halvdelen af Nordkoreas udenlandske valutaindkomst og bruges til at finansiere deres våbenprogrammer.”
— FN’s sanktionsrapport, juni 2025
“Disse midler muliggør DPRK’s skadelige aktiviteter verden over, underminerer sanktioner og fremmer spredning.”
— Det amerikanske justitsministerium
“Lazarus Groups strategi har udviklet sig fra opportunistiske hacks til strukturerede, statsstøttede finansieringsoperationer, hvilket gør dem sværere at forstyrre.”
— TRM Labs analytiker
