سجل قراصنة كوريون شماليون في عام 2025 رقماً قياسياً مخيفاً في سرقة العملات المشفرة، حيث بلغت حصيلتهم الإجمالية 2.02 مليار دولار أمريكي خلال العام. هذا الرقم يمثل زيادة كبيرة عن العام السابق، مشيراً إلى تصاعد مقلق في أنشطة هذه الجهات.
تُظهر هذه الأرقام، وفقاً لأحدث التقارير، أن هذه المجموعات التي تدعمها الدولة تتبع استراتيجية جديدة: تنفيذ هجمات أقل عدداً ولكنها أكثر ربحية. فقد شكلت العمليات الكورية الشمالية نسبة 76% من إجمالي الاختراقات التي تعرضت لها منصات وخدمات العملات المشفرة في عام 2025، وذلك رغم انخفاض العدد الإجمالي للهجمات.
هجمات قراصنة كوريا الشمالية تثير قلق عالم العملات المشفرة
تعتمد هذه المجموعات حالياً على استراتيجيتين رئيسيتين لتحقيق هذه المكاسب الضخمة. أولاً، تقوم بتوظيف عاملين في مجال تكنولوجيا المعلومات ضمن شركات العملات المشفرة، وحفظ الأصول الرقمية، وشركات الويب 3.0. هذا التغلغل يسمح لهم بالحصول على وصول موثوق به داخلياً، مما يفتح لهم أبواباً واسعة للاختراق.
ثانياً، بدأ القراصنة باستخدام أساليب وهمية تتعلق بالتوظيف. ينتحلون صفة شركات كبرى في مجالات الويب 3.0 والذكاء الاصطناعي، ويقومون بإجراء مقابلات عمل وصلاحيات تقنية وهمية. الهدف هو خداع الموظفين وسرقة بياناتهم الشخصية، أو بيانات الدخول، بل وحتى الكود المصدري والنفاذ لشبكات الشركات.
تُشير تحليلات مؤسسة Chainalysis إلى أن هؤلاء القراصنة يقومون بقلب الأدوار التقليدية. فبدلاً من التقدم للوظائف، أصبحوا هم المسؤولين عن عمليات التوظيف الوهمية؛ ويهدفون إلى الحصول على بيانات الاعتماد، والأكواد، والوصول إلى VPN للشركات التي يعمل بها الضحايا.
على مستوى أعلى، يتظاهرون بأنهم مستثمرون استراتيجيون أو مشترون محتملون للشركات. يستخدمون اجتماعات تقديم العروض وعمليات فحص مالي (Due Diligence) مزيفة لجمع معلومات حساسة عن الأنظمة وتحديد نقاط الضعف للوصول إلى البنية التحتية القيمة.
وقد وقعت إحدى أكبر عمليات السرقة في تاريخ العملات المشفرة في فبراير 2025، حيث استولى القراصنة على 1.5 مليار دولار من منصة Bybit وحدها. هذا الحادث يجسد بوضوح التحول الذي تتبعه مجموعات كوريا الشمالية، من الهجمات الصغيرة والمتعددة إلى عمليات مركزة، ولكنها ذات أضرار جسيمة.
أنماط غسيل الأموال المتقدمة والكشف عنها
بعد نجاح عمليات السرقة، يتبع القراصنة الكوريون الشماليون دورة غسيل أموال ممنهجة تستغرق حوالي 45 يوماً، وهي دورة يمكن لفرق الأمن تتبعها. تتم هذه العملية في ثلاث موجات رئيسية.
خلال الأيام الخمسة الأولى، يتم تحويل الأموال المسروقة فوراً عبر بروتوكولات التمويل اللامركزي (DeFi) وخدمات المزج (Mixing Services). تشهد هذه الخدمات ارتفاعاً ملحوظاً في النشاط، مما يضع طبقة أولى من التعقيد أمام المحققين.
بين اليوم السادس والعاشر، يتغير النهج. تبدأ المجموعات في استخدام منصات التداول التي تكون فيها إجراءات التحقق من الهوية محدودة، بالإضافة إلى استخدام الجسور المتقاطعة (Cross-chain Bridges) لنقل الأصول بين سلاسل الكتل المختلفة. هذا التحويل يمثل مرحلة انتقالية حاسمة نحو محاولة تسييل الأموال.
المرحلة الأخيرة، من اليوم العشرين إلى اليوم الخامس والأربعين، تركز على تحويل العملات المشفرة إلى نقد حقيقي. تستحوذ منصات التداول التي لا تطلب التحقق من الهوية (No-KYC) على نسبة كبيرة من هذه الأموال، كما تظهر زيادة كبيرة في خدمات الضمان باللغة الصينية.
كشف محللو Chainalysis عن تفضيل قوي لدى مجموعات كوريا الشمالية لخدمات غسيل الأموال باللغة الصينية، حيث تصل نسبة استخدامها إلى 1,753% أعلى من مجرمي الإنترنت الآخرين. كما أنهم ينظمون مدفوعاتهم بشكل مختلف، حيث يفضلون إبقاء 60% من التحويلات أقل من 500,000 دولار لتجنب الكشف، على عكس المجرمين الآخرين الذين يفضلون المعاملات الأكبر.
هذه الأنماط المميزة تكشف عن القيود التشغيلية التي تواجهها هذه المجموعات. اعتمادهم الكبير على خدمات صينية محددة والمتعاملين خارج البورصة (OTC) يشير إلى تكامل وثيق مع شبكات إجرامية في منطقة آسيا والمحيط الهادئ. توفر هذه التفضيلات الثابتة فرصاً واضحة لفرق إنفاذ القانون والأمن لتحديد الأصول المسروقة، وربما اعتراضها قبل أن تختفي تماماً في النظام المالي العالمي.