Северокорейские хакеры, связанные с Корейской Народно-Демократической Республикой и часто рассматриваемые в контексте Lazarus Group, APT38 и Kimsuky, за первые шесть месяцев 2026 года похитили криптовалюту на 643 млн долларов США. По оценке TRM Labs, это 66,2 % от общемирового ущерба от хакерских краж цифровых активов, который достиг 972 млн долларов США.

Источник изображения: Kevin Horvat/
Кто стоит за северокорейскими кибератаками
Под северокорейскими хакерами обычно понимают кибергруппы, которые связывают с интересами КНДР. В мире они известны атаками на криптосервисы, финансовые организации и ИТ-инфраструктуру, а их репутация строится на сочетании технических взломов, фишинга и социальной инженерии.
- Lazarus Group чаще всего упоминают рядом с крупными криптокражами и атаками на цифровые активы.
- APT38 связывают с финансово мотивированными операциями против банков, платежных систем и криптоплощадок.
- Kimsuky известна операциями, где важны разведка, сбор информации и точечная социальная инженерия.
Кандидатов для таких операций обычно отбирают среди сильных учеников и студентов с хорошей математикой, программированием и знанием языков. Дальше подготовка строится вокруг компьютерных сетей, операционных систем, поиска уязвимостей, разработки вредоносного ПО и методов обмана сотрудников или пользователей.
TRM Labs: меньшая сумма не означает снижения угрозы
Аналитики TRM Labs подчеркивают: сокращение объема похищенных средств не стоит воспринимать как признак того, что северокорейские кибергруппировки стали менее опасны. По их оценке, в 2026 году просто было меньше атак действительно крупного масштаба, чем годом ранее.
Криптовалюта остается привлекательной целью для таких операций: один успешный взлом онлайн-сервиса обмена цифровых валют, биржи или протокола децентрализованных финансов может принести злоумышленникам сотни миллионов долларов США. Для площадок вроде Binance и Bybit такие инциденты давно стали не только вопросом доверия пользователей, но и задачей компьютерной безопасности на уровне всей отрасли.
Крупнейшие атаки прошлого года пришлись на DeFi-проекты
В 2025 году значительная часть средств, украденных северокорейскими хакерами, была связана с двумя апрельскими атаками на децентрализованные финансы. Ключевые эпизоды 2025 года можно быстро сравнить по целям и суммам:
- 2025 год — Drift; цель атаки: децентрализованная биржа деривативов на базе Solana; тип платформы: DeFi-проект; украдено 285 млн долларов США.
- 2025 год — KelpDAO; цель атаки: протокол ликвидного рестейкинга Ethereum; тип платформы: DeFi-проект; украдено 292 млн долларов США.
На фоне продолжающейся кибервойны такие преступления в сфере информационных технологий беспокоят не только криптоиндустрию, но и государственные структуры: в Соединенных Штатах Америки подобными угрозами занимается, в частности, Федеральное бюро расследований. Риски затрагивают глобальный рынок цифровых активов, включая компании и пользователей в Китае и других странах.
Для России риск тоже практический: под удар могут попасть криптосервисы, финтех-компании, ИТ-подрядчики и пользователи, которые работают с цифровыми активами. Вероятность выше там, где есть доступ к криптокошелькам, инфраструктуре обмена или корпоративным учетным записям, а атаки могут идти через фишинг, вредоносное ПО и социальную инженерию.
Доходы злоумышленников не ограничиваются прямыми взломами
TRM Labs уточняет, что приведенные суммы отражают только кражи криптовалюты, напрямую связанные с хакерской активностью. У таких групп есть и другие незаконные источники дохода:
- Фишинг.
- Криптовалютные мошеннические схемы.
- Использование северокорейских ИТ-специалистов под видом иностранных сотрудников.
В атаках такие группы могут сочетать вредоносное ПО, взломы через уязвимости, поддельные письма, фальшивые профили сотрудников и давление на людей, у которых есть доступ к деньгам или внутренним системам.
Базовая защита строится на простых, но обязательных мерах:
- Включать многофакторную аутентификацию для криптокошельков, биржевых аккаунтов и корпоративной почты.
- Проверять сотрудников и подрядчиков, особенно если они получают доступ к коду, финансам или инфраструктуре.
- Обновлять системы и быстро закрывать известные уязвимости.
- Обучать сотрудников распознавать фишинг, поддельные вакансии, вложения и ссылки.
- Разделять доступы, хранить ключи отдельно и регулярно проверять подозрительные операции.
coinspot.io