Un nuovo rapporto pubblicato dal Multilateral Sanctions Monitoring Team (MSMT) il 23 ottobre 2025 rivela che gli hacker legati alla Corea del Nord hanno rubato circa 2,84 miliardi di dollari in criptovalute tra gennaio 2024 e settembre 2025. Tale importo, secondo il rapporto, rappresenta quasi un terzo delle entrate totali in valuta estera del paese nel 2024.
Sebbene la dipendenza della Corea del Nord dal furto informatico sia stata ben documentata, l’entità del flusso di entrate illecite scoperto nel nuovo rapporto sottolinea quanto queste operazioni siano diventate centrali per il finanziamento del regime.
Come sono stati effettuati e attribuiti i furti
Il MSMT report spiega che la maggior parte dei furti sono stati eseguiti da team di hacker nordcoreani come TraderTraitor e CryptoCore. Tra i loro metodi, il rapporto evidenzia l’ingegneria sociale, l’intrusione nel cloud e il targeting di fornitori di terze parti piuttosto che attacchi diretti ai principali exchange. Ad esempio, una sola operazione attribuita a TraderTraitor avrebbe fruttato circa 2,58 miliardi di dollari in criptovalute rubate dall’inizio del 2024 in poi.
Nel frattempo, il rapporto rileva che la Corea del Nord ha aumentato le esportazioni di armi e i rapporti commerciali con un altro Stato sanzionato nel 2023, riducendo la quota relativa di valuta derivata dal crimine informatico.
Queste tattiche consentono a Pyongyang di migliorare l’assunzione di valuta estera, eludendo i tradizionali canali bancari e commerciali bloccati dalle sanzioni.
Perché queste entrate sono importanti per il regime
Il fatto che il furto informatico rappresenti ora una parte così ampia dei guadagni in valuta estera della Corea del Nord mostra un importante cambiamento nel modo in cui il paese sostiene la sua economia. Sebbene le esportazioni di minerali, tessuti e beni illeciti rimangano rilevanti, il rapporto indica che il furto digitale fornisce un canale ad alto rendimento e a basso rischio per portare valore nel sistema controllato dallo Stato.
Gli analisti notano che questo flusso di entrate sostiene le priorità militari, compresi i programmi nucleari e missilistici del regime. Il rapporto afferma che gli attacchi informatici rivolti alle criptovalute sono “un’importante fonte di entrate” per il regime.
Dato l’isolamento dell’economia formale della Corea del Nord e il suo pesante onere di sanzioni, queste operazioni informatiche colmano il divario creato dal blocco dell’accesso alla finanza e al commercio globali.
Man mano che questi gruppi legati allo stato aumentano la loro portata e sofisticazione, le aziende che gestiscono asset digitali, portafogli e infrastrutture blockchain devono assumere avversari a livello di stato-nazione. Poiché gli aggressori ora preferiscono prendere di mira servizi di terze parti, fornitori di cloud e fornitori di applicazioni piuttosto che direttamente i grandi exchange, il rischio si espande oltre le piattaforme principali.
I difensori devono eseguire rigorose valutazioni del rischio del fornitore, monitorare i flussi di indirizzi del portafoglio per attività insolite e mantenere avvisi in tempo reale per l’uso improprio delle credenziali o modelli di transazione anomali. Poiché gli asset rubati sono spesso riciclati in più catene e giurisdizioni, il tracciamento richiede un’analisi blockchain specializzata e un coordinamento transfrontaliero.
Le autorità di regolamentazione e i team delle forze dell’ordine dovrebbero anche dare priorità alla condivisione delle informazioni finanziarie ed esaminare in che modo i proventi dei furti informatici entrano nei sistemi basati sul contante, compresi i broker over-the-counter e le borse regionali. Uno sforzo internazionale coordinato rimane essenziale, data la natura transfrontaliera del riciclaggio.
Le implicazioni più ampie per la sicurezza globale
La scoperta di questi furti dimostra che il crimine informatico è ormai parte integrante del modo in cui alcuni stati si finanziano. La dipendenza della Corea del Nord dalla valuta digitale rubata sottolinea come la demarcazione tra attività criminale e generazione di entrate guidate dallo stato sia sempre più sfumata.
Se la tendenza continua, altri stati sanzionati potrebbero espandere l’uso delle operazioni informatiche per ottenere entrate, rendendo l’ecosistema degli asset digitali un fronte critico nella guerra economica e nell’evasione delle sanzioni. I responsabili politici globali, non solo le società di criptovalute, devono riconoscere la dimensione strategica di queste minacce.
Anche la tempistica del rapporto è importante. Man mano che le criptovalute ottengono una maggiore adozione mainstream, la capacità del regime di convertire gli asset rubati in valore aumenta, aumentando la posta in gioco sia per i difensori che per i regolatori.