Ayon sa ulat ng Multilateral Sanctions Monitoring Team (MSMT), nakapagnakaw ang mga hacker na konektado sa North Korea ng nakakalulang $2.83 bilyon sa virtual assets mula 2024 hanggang Setyembre 2025.
Binibigyang-diin ng ulat na hindi lang magaling ang Pyongyang sa pagnanakaw, kundi may mga advanced na paraan din sila para mag-liquidate ng mga nakaw na yaman.
Kita sa Hacking, Susi sa Isang-Katlo ng Foreign Currency ng Bansa
Ang MSMT ay isang multinational na koalisyon ng 11 bansa, kasama ang US, South Korea, at Japan. Itinatag ito noong Oktubre 2024 para suportahan ang pagpapatupad ng mga UN Security Council sanctions laban sa North Korea.
Ayon sa MSMT, ang $2.83 bilyon na nanakaw mula 2024 hanggang Setyembre 2025 ay isang kritikal na numero.
“Ang kita mula sa virtual asset theft ng North Korea noong 2024 ay nasa isang-katlo ng kabuuang kita ng bansa sa foreign currency,” ayon sa team.
Mas lumala ang pagtaas ng pagnanakaw, kung saan $1.64 bilyon ang nanakaw noong 2025 pa lang, na tumaas ng mahigit 50% mula sa $1.19 bilyon noong 2024, kahit hindi pa kasama ang huling quarter ng 2025.
Bybit Hack: Ano ang Papel ng TraderTraitor Syndicate?
Kinilala ng MSMT ang pag-hack noong Pebrero 2025 sa global exchange na Bybit bilang malaking dahilan ng pagtaas ng iligal na kita noong 2025. Ang atake ay iniuugnay sa TraderTraitor, isa sa mga pinaka-advanced na hacking group ng North Korea.
Nalaman sa imbestigasyon na nakakuha ang grupo ng impormasyon kaugnay sa SafeWallet, ang multi-signature wallet provider na ginagamit ng Bybit. Nakapasok sila sa pamamagitan ng phishing emails.
Gumamit sila ng malicious code para makapasok sa internal network, at pinalabas na internal asset movements ang external transfers. Dahil dito, nakuha nila ang kontrol sa smart contract ng cold wallet.
Napansin ng MSMT na sa mga major hack nitong nakaraang dalawang taon, madalas na targetin ng North Korea ang mga third-party service providers na konektado sa exchanges, imbes na direktang atakihin ang exchanges mismo.
Ang Siyam na Hakbang ng Pag-launder
Detalyado ng MSMT ang masusing siyam na hakbang na proseso ng pag-launder ng North Korea para gawing fiat currency ang mga nakaw na virtual assets:
1. Ipinagpapalit ng mga attacker ang nakaw na assets para sa cryptocurrencies tulad ng ETH sa isang Decentralized Exchange (DEX).
2. ‘Minimix’ nila ang pondo gamit ang mga serbisyo tulad ng Tornado Cash, Wasabi Wallet, o Railgun.
3. Kinoconvert nila ang ETH sa BTC gamit ang bridge services.
4. Inililipat nila ang pondo sa isang cold wallet pagkatapos dumaan sa centralized exchange accounts.
5. Ipinapakalat nila ang assets sa iba’t ibang wallets pagkatapos ng pangalawang round ng mixing.
6. Ipinagpapalit nila ang BTC para sa TRX (Tron) gamit ang bridge at P2P trades.
7. Kinoconvert nila ang TRX sa stablecoin na USDT.
8. Inililipat nila ang USDT sa isang Over-the-Counter (OTC) broker.
9. Ang OTC broker ang nagli-liquidate ng assets sa lokal na fiat currency.
Mas Madaling Cash-Out sa Global Network
Ang pinaka-challenging na stage ay ang pag-convert ng crypto sa nagagamit na fiat. Ginagawa ito gamit ang OTC brokers at mga financial companies sa third-party na bansa, kasama ang China, Russia, at Cambodia.
Pinangalanan ng ulat ang ilang indibidwal. Kabilang dito ang mga Chinese nationals na sina Ye Dinrong at Tan Yongzhi ng Shenzhen Chain Element Network Technology at P2P trader na si Wang Yicong.
Sinasabing nakipagtulungan sila sa mga North Korean entities para magbigay ng pekeng IDs at mag-facilitate ng asset laundering. Kasama rin ang mga Russian intermediaries sa pagli-liquidate ng humigit-kumulang $60 milyon mula sa Bybit hack.
Dagdag pa rito, ang Huione Pay, isang financial service provider sa ilalim ng Cambodia’s Huione Group, ay ginamit para sa laundering.
“Isang North Korean national ang may personal na relasyon sa mga kasamahan sa Huione Pay at nakipagtulungan sa kanila para i-cash out ang virtual assets noong huling bahagi ng 2023,” ayon sa MSMT.
Itinaas ng MSMT ang mga alalahanin sa gobyerno ng Cambodia noong Oktubre at Disyembre 2024. Ang mga alalahanin ay tungkol sa mga aktibidad ng Huione Pay na sumusuporta sa mga UN-designated North Korean cyber hackers. Dahil dito, tumanggi ang National Bank of Cambodia na i-renew ang payment license ng Huione Pay; gayunpaman, patuloy pa rin ang operasyon ng kumpanya sa bansa.
