Hacker legati alla Corea del Nord sono stati responsabili di furti di criptovalute senza precedenti nel 2025, con società di analisi blockchain che hanno riferito che attori affiliati al regime hanno rubato circa oltre 2 miliardi di dollari in criptoasset nell’anno. Queste attività hanno rappresentato il più grande raccolto annuale attribuito alla Corea del Nord nel settore delle criptovalute e hanno continuato un modello a lungo termine di furti informatici legati allo Stato utilizzati per generare ricavi.
Analisi di diverse organizzazioni di intelligence blockchain hanno mostrato che gli attori cibernetici nordcoreani si sono concentrati su un mix di grandi violazioni di exchange e altre compromesse di alto valore. Uno degli eventi più significativi è stato un importante exploit dell’exchange di criptovalute Bybit nel febbraio 2025, quando gli attaccanti hanno preso il controllo di chiavi private e hanno ritirato enormi quantità di asset digitali poco dopo l’esecuzione. Questo singolo furto, valutato circa 1,5 miliardi di dollari, è stato tra i più grandi colpi individuali di criptovalute mai registrati e ha rappresentato una larga parte del valore noto rubato per l’anno.
I ricercatori hanno anche documentato che la quota della Corea del Nord nel furto globale di criptovalute era significativa rispetto ad altri attori minacciosi. Nel 2025, fino al 60–76% del valore totale rubato ai servizi centralizzati è stato attribuito ad attori legati alla Repubblica Popolare Democratica di Corea (DPRK), secondo stime dei reportage industriali. Questo schema ha dimostrato sia il targeting strategico degli scambi centralizzati sia la scala con cui queste operazioni sono state condotte rispetto ad altri gruppi malevoli.
Il contesto più ampio di queste attività mostra un cambiamento sia nelle tattiche che nella scala. Elliptic, una società di intelligence blockchain, ha riportato che gli operatori cibernetici nordcoreani hanno effettuato più di 30 attacchi hacker separati contro exchange e altri servizi di criptovalute nel 2025, portando il totale cumulativo di criptovalute rubate dal 2017 a ben oltre 6 miliardi di dollari. Questi furti del 2025 sarebbero stati guidati da una combinazione di compromesso tecnico dell’infrastruttura di scambio e ingegneria sociale rivolta agli amministratori dei servizi e agli utenti privilegiati.
Parte della strategia operativa ha comportato il puntare a grandi piattaforme custodial e di trading dove un singolo compromesso di accesso privilegiato può comportare perdite di valore estremamente elevate. Mirando a servizi centralizzati con riserve sostanziali, gli aggressori riuscirono a massimizzare l’impatto monetario di ogni incidente. Gli analisti hanno osservato che questa attenzione alle riserve di criptovalute concentrate ha contribuito alla quota sproporzionatamente elevata delle perdite del 2025 legate alla Corea del Nord.
Oltre alle gravi violazioni delle piattaforme, sono state segnalate anche incidenti minori ma degni di nota attribuiti ad hacker legati alla RPDC. Ad esempio, osservatori del settore e autorità sudcoreane hanno riportato indagini su furti di decine di milioni di dollari in criptovalute da servizi come Upbit, dove sono emerse compromesse di chiavi private o prelievi anomali alla fine del 2025, con le forze dell’ordine che hanno citato tattiche e infrastrutture coerenti con gruppi legati alla Corea del Nord.
I dati del settore suggeriscono che il 2025 ha rappresentato non solo un anno da record per il furto di criptovalute nordcoreano in termini assoluti, ma anche un periodo in cui i metodi utilizzati sono diventati più sistematici, riflettendo un approccio industrializzato alla generazione di ricavi attraverso una combinazione di violazioni di alto valore, ingegneria sociale e riciclaggio sofisticato di beni rubati. Gli analisti blockchain hanno osservato che i fondi rubati spesso passano attraverso complessi servizi di mixaggio e bridge, seguiti da conversioni online e offline, illustrando come le operazioni di furto di criptoe nordcoreane siano maturate sia tecnicamente che operativamente.
Le implicazioni finanziarie di questi furti vanno oltre le perdite immediate stesse. I proventi dei furti di blockchain sono stati collegati agli sforzi del governo nordcoreano di eludere sanzioni internazionali e sovvenzionare le priorità statali. Analisi indipendenti e monitoraggio da parte di società di intelligence finanziaria hanno individuato modelli di riciclaggio e trasferimenti cross-chain che si allineano con le note fonti di reddito della criminalità informatica della RPDC, sottolineando le più ampie conseguenze geopolitiche della minaccia.
Nel complesso, i dati del 2025 mostrano che gli attori informatici nordcoreani hanno rafforzato la loro posizione come forza dominante nel panorama del furto di criptovalute. Le loro operazioni hanno contribuito a una parte significativa dei circa 3,4 miliardi di dollari di asset criptocritano totali segnalati come rubati a livello industriale, con la quota legata alla RPDC significativamente superiore a quella di altri gruppi legati allo Stato o criminali per l’anno.
L’evoluzione continua di queste operazioni sottolinea le sfide che gli operatori di borsa, i custodi e i detentori individuali affrontano nella tutela degli asset digitali. Con la crescente sofisticazione tecnica ed economica degli attaccanti, la sicurezza informatica delle piattaforme di criptovalute e la protezione delle chiavi private e dell’accesso amministrativo rimangono preoccupazioni centrali per il settore.