Nel 2025 i furti di criptovalute hanno registrato un aumento netto e preoccupante, con una parte dominante attribuita a gruppi di hacker collegati alla Corea del Nord. Le analisi di intelligence blockchain indicano che questi attori hanno sottratto almeno 2.02 miliardi di dollari in criptovalute, su oltre 3.4 miliardi rubati a livello globale tra gennaio e inizio dicembre. Il dato rappresenta un incremento del 51 per cento rispetto all anno precedente e segna il livello piu alto mai osservato per valore sottratto in operazioni di crypto theft riconducibili a Pyongyang.
Un singolo evento ha inciso in modo decisivo sul totale. Il compromesso di un grande exchange, avvenuto a febbraio, avrebbe generato circa 1.5 miliardi di dollari di perdite, diventando uno dei piu grandi furti nella storia del settore. L attacco e stato associato a un cluster di minacce noto con diversi alias e collegato a campagne di lungo periodo attribuite alla galassia Lazarus Group, considerata una delle infrastrutture offensive piu attive nel cybercrime e nello spionaggio informatico.
La strategia nordcoreana non si limita agli attacchi diretti contro servizi crypto. Negli ultimi anni si e consolidato un approccio parallelo basato sull infiltrazione di lavoratori IT all interno di aziende e fornitori Web3, talvolta tramite identita false e societa di copertura. Questo schema aumenta la probabilita di ottenere accessi privilegiati a exchange, custodian e piattaforme di finanza decentralizzata, accelerando movimento laterale e preparazione di compromissioni ad alto impatto.
Una volta sottratti, i fondi seguono percorsi di riciclaggio strutturati. Vengono impiegati bridge cross chain, mixer, servizi OTC e reti di money movement spesso legate a ecosistemi in lingua cinese. Il processo avviene in piu ondate e puo estendersi per circa 45 giorni, passando da una fase iniziale di offuscamento rapido fino all integrazione finale con conversione in valuta fiat o altri asset.
In parallelo continuano anche campagne di social engineering legate a finte offerte di lavoro, usate per indurre vittime in settori sensibili a eseguire malware e consegnare credenziali, con un obiettivo doppio: sottrarre dati e finanziare il regime aggirando le sanzioni internazionali.
