Enligt en rapport från Multilateral Sanctions Monitoring Team (MSMT) stal hackare kopplade till Nordkorea hela 2,83 miljarder USD i virtuella tillgångar mellan 2024 och september 2025.
Rapporten betonar att Pyongyang inte bara är skickliga på stöld utan också har avancerade metoder för att omsätta de olagliga vinsterna.
Hackarintäkter står för en tredjedel av nationens utländska valuta
MSMT är en multinationell koalition av 11 länder, inklusive USA, Sydkorea och Japan. Den grundades i oktober 2024 för att stödja genomförandet av FN:s säkerhetsråds sanktioner mot Nordkorea.
Enligt MSMT är de 2,83 miljarder USD som stals från 2024 till september 2025 en kritisk siffra.
“Nordkoreas intäkter från virtuella tillgångsstölder 2024 utgjorde ungefär en tredjedel av landets totala inkomster i utländsk valuta,” noterade teamet här.
Omfattningen av stölderna har ökat dramatiskt, med 1,64 miljarder USD stulna enbart 2025. Detta är en ökning med över 50 % från de 1,19 miljarder USD som togs 2024, trots att siffran för 2025 inte inkluderar det sista kvartalet.
Bybit-hacket och TraderTraitor-syndikatet
MSMT identifierade hackningen av den globala börsen Bybit i februari 2025 som en stor bidragande faktor till ökningen av olagliga intäkter 2025. Attacken tillskrevs TraderTraitor, en av Nordkoreas mest sofistikerade hackarorganisationer.
Undersökningen visade att gruppen samlade information om SafeWallet, den multi-signatur plånboksleverantör som Bybit använde. De fick sedan obehörig åtkomst via phishingmejl.
De använde skadlig kod för att komma åt det interna nätverket och maskerade externa överföringar som interna tillgångsrörelser. Detta gjorde att de kunde ta kontroll över den kalla plånbokens smarta kontrakt.
MSMT noterade att vid stora hackningar de senaste två åren föredrar Nordkorea ofta att rikta in sig på tredjepartstjänsteleverantörer kopplade till börser. Detta görs istället för att attackera börserna själva.
Den nio-stegs tvättmekanismen
MSMT beskrev en noggrann nio-stegs tvättprocess som Nordkorea använder för att omvandla de stulna virtuella tillgångarna till fiatvaluta:
1. Angripare byter stulna tillgångar mot kryptovalutor som ETH på en decentraliserad börs (DEX).
2. De “mixar” medlen med tjänster som Tornado Cash, Wasabi Wallet eller Railgun.
3. De konverterar ETH till BTC via bryggtjänster.
4. De flyttar medlen till en kall plånbok efter att ha passerat genom centraliserade börskonton.
5. De sprider tillgångarna till olika plånböcker efter en andra omgång av mixning.
6. De byter BTC mot TRX (Tron) med brygg- och P2P-handlar.
7. De konverterar TRX till stablecoin USDT.
8. De överför USDT till en over-the-counter (OTC) mäklare.
9. OTC-mäklaren likviderar tillgångarna till lokal fiatvaluta.
Globalt nätverk underlättar uttag
Den mest utmanande delen är att konvertera krypto till användbar fiat. Detta görs med OTC-mäklare och finansiella företag i tredjepartsländer, inklusive Kina, Ryssland och Kambodja.
Rapporten namngav specifika individer. Dessa inkluderar kinesiska medborgare Ye Dinrong och Tan Yongzhi från Shenzhen Chain Element Network Technology och P2P-handlaren Wang Yicong.
De anklagas för att ha samarbetat med nordkoreanska enheter för att tillhandahålla falska ID och underlätta tillgångstvätt. Ryska mellanhänder var också inblandade i likvideringen av cirka 60 miljoner USD från Bybit-hacket.
Vidare användes Huione Pay, en finansiell tjänsteleverantör under Kambodjas Huione Group, för tvättning.
“En nordkoreansk medborgare upprätthöll en personlig relation med Huione Pay-associerade och samarbetade med dem för att ta ut virtuella tillgångar i slutet av 2023,” uppgav MSMT.
MSMT uttryckte oro till den kambodjanska regeringen i oktober och december 2024. Dessa bekymmer gällde Huione Pays aktiviteter som stödde FN-utpekade nordkoreanska cyberhackare. Som ett resultat vägrade Kambodjas centralbank att förnya Huione Pays betalningslicens; dock fortsätter företaget att verka i landet.
