تواصل كوريا الشمالية, المعروفة رسمياً باسم جمهورية كوريا الديمقراطية الشعبية، تكثيف عملياتها السيبرانية على نطاق عالمي، ما يمثل انتهاكاً متعمداً لقرارات مجلس الأمن الدولي. ويتم ذلك من خلال شن هجمات إلكترونية واسعة النطاق، وسرقة العملات المشفرة، وتنفيذ مخططات غسل أموال عابرة للحدود.
ووفقًا لتقرير صادر عن فريق الرصد متعدد الأطراف للعقوبات (MSMT)، فقد نجح قراصنة كوريون شماليون في سرقة ما لا يقل عن 1.19 مليار دولار أمريكي من العملات المشفرة خلال عام 2024، بالإضافة إلى 1.65 مليار دولار أخرى في الأشهر التسعة الأولى من عام 2025. وبذلك يصل إجمالي المبالغ المسروقة إلى ما يقارب 2.8 مليار دولار.
كوريا الشمالية تضاعف جهودها السيبرانية لتمويل برامجها
تشير التقارير إلى أن القدرات السيبرانية المتقدمة لكوريا الشمالية قد وصلت إلى مستويات قريبة من القوة العظمى، مع وجود مجموعات متطورة تعمل بشكل منهجي لتنفيذ هجمات منسقة تستهدف قطاع العملات المشفرة بأكمله. ويُعتقد أن هذه العمليات تهدف بشكل أساسي إلى تمويل برامج أسلحة الدمار الشامل والصواريخ الباليستية للنظام.
ويُعد اختراق منصة Bybit، التي تتخذ من دبي مقراً لها، والذي وقع في فبراير 2025 وأسفر عن سرقة ما يقرب من 1.5 مليار دولار، أكبر عملية سرقة عملات مشفرة في التاريخ، مما يسلط الضوء على حجم المخاطر.
من جهة أخرى، تعرضت منصات أخرى مثل DMM Bitcoin اليابانية و WazirX الهندية لعمليات اختراق مماثلة. وكشف محللو الأمن في SlowMist أن الجهات الفاعلة السيبرانية من كوريا الشمالية تستخدم برمجيات خبيثة متطورة، تبث عادةً عبر حملات هندسة اجتماعية متقنة، تتنكر في صورة فرص عمل ووظائف.
استراتيجيات التوظيف الخبيثة
تستهدف حملة “Contagious Interview” بشكل خاص مطوري البرمجيات، حيث يتم دعوتهم إلى مقابلات عمل عبر الإنترنت، ثم يُطلب منهم تنزيل حزم برمجية خبيثة. عند تشغيل هذه البرمجيات، تقوم بحصد بيانات المحافظ الخاصة بالعملات المشفرة ومعلومات بطاقات الائتمان المخزنة في المتصفحات، مع تثبيت خفي لباب خلفي يُدعى InvisibleFerret، يمنح المهاجمين وصولاً دائماً عن بعد.
تُظهر سلسلة الهجمات براعة تقنية متقدمة في تأمين موطئ قدم داخل الأنظمة المستهدفة. فعندما يصل الضحايا إلى مواقع ويب وهمية للمقابلات، تظهر لهم رسائل خطأ تتعلق بالكاميرا، تدعوهم إلى تنزيل برامج تشغيل. يستخدم المهاجمون تقنية “ClickFix” لخداع الضحايا لتنفيذ أوامر خبيثة.
على أنظمة macOS، يقوم الضحايا بتنزيل وتشغيل برنامج نصي خبيث عبر أوامر curl. أما مستخدمو Windows، فيتلقون ملف ZIP يحتوي على برنامج نصي VBS جاهز للتنفيذ. ويؤمن باب InvisibleFerret الخلفي وصولاً مستمراً عن طريق دمجه داخل عمليات النظام الشرعية.
هذا يسمح للمهاجمين بالحفاظ على قدرات مراقبة طويلة الأمد واستخراج البيانات الحساسة دون إثارة تنبيهات أمنية. وتتواصل البرمجيات الخبيثة مع البنية التحتية للقيادة والتحكم باستخدام قنوات مشفرة، مما يجعل اكتشافها على مستوى الشبكة صعبًا على فرق الأمن.
يكمل عمال تكنولوجيا المعلومات من كوريا الشمالية هذه العمليات السيبرانية، حيث يتسللون إلى الشركات حول العالم عبر منصات العمل الحر مثل Upwork و Freelancer و Fiverr. يستخدم هؤلاء العمال صورًا اصطناعية تم إنشاؤها بواسطة الذكاء الاصطناعي ووثائق مزورة لتجاوز التحقق من الهوية، ويكسبون راتبًا شهريًا متوسطًا قدره 10,000 دولار أمريكي، بينما يحولون أجزاء كبيرة منه إلى النظام.
ويؤكد تقرير MSMT على تواجد عمال تكنولوجيا المعلومات الكوريين الشماليين في الصين وروسيا ولاوس والعديد من الدول الأفريقية. وتتبع عملية غسل العملات المشفرة المسروقة مسارًا متعدد المراحل يتضمن مبادلة الرموز عبر بورصات لامركزية، واستخدام خدمات خلط مثل Tornado Cash و Wasabi Wallet، وجسور البلوك تشين، قبل التحويل النهائي إلى عملة ورقية عبر سماسرة من خارج البورصة.
يمثل هذا النهج المنهجي للتهرب من العقوبات تهديدًا متزايدًا للنظام المالي العالمي، ويتطلب استجابة دولية منسقة للتصدي له.